关于预防感染勒索软件病毒的通知
局属各单位:
近日,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延,已对互联网络构成较为严重的安全威胁。该勒索软件病毒基于445端口的smb漏洞(ms17-101)进行传播,当系统被该勒索软件感染后,一是会弹出勒索对话框,采用aes和rsa加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@wanadecryptor@.exe”;三是生成随机ip并发起新的网络攻击。因此该病毒对计算机用户资料和文档造成巨大的损失。目前安全机构暂未能有效破除该勒索病毒的恶意加密行为,用户只能进行预防。为了防患于未然,加强防护能力,在此提醒各处室、各单位做好以下预防措施:
一、做好操作系统的更新
1、立即停止使用windowsxp、windows2003等微软已不再提供安全更新的操作系统;升级操作系统至windows7以上,并使用“windows更新”更新系统补丁至最新,启用并打开“windows防火墙”。
2、win7、win10系统请到微软安全公告查找相应的补丁下载并安装。
二、关闭病毒端口
该病毒利用了windows文件共享协议中的一个安全漏洞主要通过tcp 445端口进行攻击,漏洞影响windows全线的操作系统,各处室要及时在办公计算机上关闭135、137、139、445、3389等端口的网络访问。
三、做好重要数据备份
该病毒攻击的主要形式是对各类文档进行加密,各处室、各单位计算机用户根据数据重要程度,及时做好文档、照片等资料的备份。
四、及时更新现有杀毒软件,将病毒库升级到最新,并根据提示更新系统补丁,同时打开杀毒软件实时监控功能。
五、已感染病毒计算机请立即断网并及时与局宣传中心联系,避免进一步传播感染。
六、不要打开来历不明或可疑的电子邮件和附件。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
请各处室、各单位按通知要求及时做好外网办公电脑的病毒防范,遇到问题及时与局宣传中心联系,病毒防范措施及内容请关注山西水工网。
联系电话:7250844
局办公室
2017年5月18日
附件:
病毒防范措施
目前亚信、安天、360、北信源、瑞星、金山、腾讯7家公司已经研发出针对该病毒的最新专杀工具。
亚信专杀下载地址(32位):http://support.asiainfo-sec.com/anti-virus/clean-tool/attk_cn/supportcustomizedpackage.exe
亚信专杀下载地址(64位):http://support.asiainfo-sec.com/anti-virus/clean-tool/attk_cn/supportcustomizedpackage_64.exe
亚信专杀使用说明:http://support.asiainfo-sec.com/anti-virus/clean-tool/attk_cn/attk_user_manual.doc
安天专杀下载地址:http://www.antiy.com/response/wannacry/atscanner.zip
安天免疫下载地址:http://www.antiy.com/response/wannacry/vaccine_for_wannacry.zip。
安天应对说明链接:http://www.antiy.com/response/antiy_wannacry_faq.html。
360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune
360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller
北信源公司专杀免疫工具和说明下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205
瑞星免疫工具下载链接:http://download.rising.net.cn/zsgj/eternalbluemianyi.exe
瑞星免疫工具 杀软下载链接:http://download.rising.net.cn/zsgj/eternalbluemianyi_sharuan.exe
金山安全免疫工具(最新版,下载后可自动适配用户使用的系统,适配任何个人及企业用户)下载地址: http://pan.baidu.com/s/1o8hqpxc
金山v8 终端安全防护系统免疫工具(最新版,适配金山安全安装此产品的企业级用户)下载地址:http://pan.baidu.com/s/1kvhulwz
腾讯电脑管家勒索病毒免疫工具和说明下载链接:http://guanjia.qq.com/wannacry/
腾讯电脑管家勒索病毒免疫工具(离线版)下载地址:http://url.cn/496kcwv
腾讯电脑管家勒索病毒免疫工具(在线版)下载地址:http://url.cn/498da3o
腾讯电脑管家管理员助手 下载地址:http://url.cn/499yvsj命令行:ms_17_010_scan.exe 192.168.164.128
由于本次wannacry蠕虫事件的巨大影响,微软总部决定发布已停服的xp和部分服务器版特别补丁,请组织对使用xp的终端进行升级。
具体措施:
1.立即停止使用windows xp、windows 2003等微软已不再提供安全更新的操作系统;
2.升级操作系统至windows7以上,并使用“windows更新”更新系统补丁至最新;
3.启用并打开“windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”等一系列相关规则;
4.使用下面说明2提供的“360 nsa武器库免疫工具”关闭相关服务;
5.使用安全策略关闭135、137、138、139、445端口,具体操作见下面说明3。
相关说明:
1.microsoft 安全公告 ms17-010
2.360 nsa武器库免疫工具
3.关闭135、137、138、139、445端口的具体操作:
(1)在开始之前,请立刻将你的电脑断网!!!
(2)win r打开运行,输入gpedit.msc进入组策略编辑器。
(3)在左侧边栏中,依次选取 “windows 设置 - 安全设置 - ip安全策略,在 本地计算机”。
(4)接下来右键单击 “ip安全策略,在 本地计算机”,并选择“创建ip安全策略”。
(5)在跳出的“ip安全策略向导”中右键。
(6)在第二步的名称中输入“封禁端口”然后一路“下一步”。
(7)单击“完成”。
(8)在随后跳出的封禁端口属性窗口中,单击添加。
(9)需要注意的是不要勾选右下角的“使用添加向导”。
(10)在"新规则 属性"窗口中,单击左下角的"添加"
(11)在ip筛选器列表窗口中,单击右侧的添加按钮,需要注意的是这里也不要点击右下角的"使用添加向导"
(12)在弹出的ip筛选器属性窗口的地址选项卡中,原地址选择“任何ip地址”,目标地址选择“我的ip地址”
(13)然后选择协议选项卡,选择协议类型为:tcp,设置ip协议端口为"从任意端口""到此端口":445,并单击确定。
(14)在ip筛选器列表中单击确定。
(15)然后在新规则属性中,单击筛选器操作选项卡。
(16)单击下方的添加,并且不要勾选右侧的使用添加向导。
(17)在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止。
(18)单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”,在切换到ip筛选器列表,勾选刚才建立的“445”。然后单击应用,再单击“关闭”。
(19)单击“确定”。
(20)回到组策略编辑器,右键单击右侧刚才创建的“封禁端口”,在右键菜单当中选择分配,就成功关闭了445端口。
(21)另外还需要关闭135、137、138、139端口,操作与上述关闭445的操作相同。
