抵抗勒索病毒的正确姿势——不要上来就封端口!
刚刚过去的这个周末,朋友圈一定被勒索病毒刷屏了~
看到一堆人告诉别人封锁135-139,445端口,作为一个修过无数AD复制问题,客户端无法登录或者使用域资源问题的老司机,我想问问,您真的知道这些端口是干嘛的么?
端口使用的官方网页请看这里:
Port Assignments for Well-Known Ports
https://technet.microsoft.com/en-us/library/cc959828.aspx
请仔细阅读和确认有关135,136,137,138,139,445端口的作用,如果不确定是否需要这些端口完成正常的域登录、访问域资源、DC间检测复制等等,请谨慎封锁端口!
最大的危害不在于立即出现的故障,而在于90天或者180天之后出现的大量AD复制错误,修复这些问题比你想想的更复杂。
那么,是否就任由勒索病毒肆虐呢?作为一个有责任心,有正义感的IT专业人士(哈哈),必须要发一点光,尽一份力……时间紧迫,咸蛋少扯。我们看看这个勒索病毒是怎么玩的。
勒索病毒早就有了,方式是通过高阶加密用户的重要信息文件,例如Office文档、图片视频等等,然后删除原始文件,要求用户支付金额,然后可能提供解密方式。在我看来很没品~
为啥这一次这么猖獗呢?因为这回的病毒,利用了之前NSA失窃的战略级漏洞工具箱里的一个工具——永恒之蓝。因此病毒可以直接攻击未受到防护的文件共享协议SMB V1的漏洞,直接进行传播。
这种传播方式,效率要远快于传统的文件复制、移动存储、邮件和网站链接等等,因此才会在周末发生爆发的态势。
传统安全往往着眼于网络边界,关注点在防火墙,网络访问行为管理,IPS啥的,对这种内网SMB漏洞防御不好使~而重要的,大量用户在防火墙之后,不打补丁!
那么怎样尽快不影响正常使用下尽可能的防止和减缓病毒肆虐?
快打补丁!快打补丁!快打补丁!
假如您使用的是虚拟桌面,特别是池化桌面,特别特别是PVS这种串流池化桌面,补丁更新模板,同时对基础架构服务器、文件服务器或NAS进行杀毒之后就可以休息了。
如果是PC或者Dedicated桌面,很不幸,您的工作量多了很多,建议的方法有:
1、不要简单封端口,除非你知道会发生什么;
2、阅读永恒之蓝漏洞的说明,知道是什么地方的漏洞:
MS17-010: Security update for Windows SMB Server: March 14, 2017
https://support.microsoft.com/en-au/help/4013389/title
Microsoft Security Bulletin MS17-010 – Critical
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
很清楚,这个危机漏洞主要发生在SMBv1的早期协议下。
3、在慢慢打补丁的同时该做些什么:
病毒是不会等你打补丁的。为了提高补丁效率,建议使用WSUS来进行批量的补丁更新,同时也降低访问微软补丁服务器的流量。据说现在访问补丁服务器的速度已经很慢了。
与此同时,可以参考微软KB关闭SMBv1的支持。
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
可以通过注册表、脚本等任何形式,利用组策略强制用户停用SMBv1,例如:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled
4、已经发生勒索的,可以尝试:
从猜测的逻辑看,病毒会执行指令,将现有文件进行加密,生成特定后缀的加密文件,同时删除原有文件。假设磁盘空间没有被复用,可以尝试用数据恢复软件搜索磁盘,发现删除的文件尝试回复,例如使用r-studio。
来不及写ADMX组策略模板了,抓紧防御吧~
仓促成文,如有错漏敬请斧正。感谢Samuel Deng和凯凯还有袁总。
抵抗勒索病毒的正确姿势——不要上来就封端口!相关推荐
- 计算机服务器中了360后缀勒索病毒,正确的解密恢复数据库的方式有哪些
随着计算机技术的不断发展,网络安全也引起了人们重视,近期,我们收到很多企业的求助,企业的计算机服务器被360后缀勒索病毒攻击,导致系统内的数据库全部被加密,重要数据无法被读取,严重影响了企业的正常工作 ...
- 调戏木马病毒的正确姿势——下
第一章:使用PEDoll调戏cmd调用类型的锁机程序 在讨论这个锁机程序之前,我们先来讨论一下如果我们想要改动我们电脑的账户和密码,应该怎么办 当然在控制面板上的创建用户密码,可以非常容易而且非常人性 ...
- 调戏木马病毒的正确姿势
作者:immenma 来源:i春秋社区 第一章:使用PEDoll调戏cmd调用类型的锁机程序 在讨论这个锁机程序之前,我们先来讨论一下如果我们想要改动我们电脑的账户和密码,应该怎么办 当然在控制面板上 ...
- 关于勒索病毒 Ransom:Win32.WannaCrypt 解决方案的最后一次说明
2017/5/12 晚,勒索软件 Ransom:Win32.WannaCrypt 大面积暴发.比病毒爆发更火的,则是各类关于此病毒的新闻.解决方法在朋友圈等社交媒体的爆发. 其中,有主观善意但客观一知 ...
- 流行勒索病毒分析总结
一.概述 信息安全 (Information Security) ,意为保护信息及信息系统不受侵害.主要保护计算机硬件.软件.数据不因偶然的或恶意的原因而遭到破坏.更改.显露.从层面的概念来看,计算机 ...
- 勒索病毒应急响应指导手册
目录 0x01 自诊判断是否感染勒索病毒 1.1什么是勒索病毒 1.2如何判断遭受勒索病毒感染 1.3.如何判断当前感染了哪种勒索病毒 0x02 数据解密恢复 0x03 感染勒索病毒后正确的应急处理流 ...
- 「诺亚」升级|进阶主动防御,勒索病毒持续免疫
2018年,某制造业非核心服务器第一次被勒索后,选择当地厂商进行解密,然而一周后病毒再次来袭,没有任何防护能力的核心服务器及财务PC被加密,而部署诺亚防勒索系统的服务器正常运行. 2019年,诺亚防勒 ...
- 【91数据恢复】.[killhackfiles@cock.li].Devos勒索病毒数据恢复
目录 前言:简介 一.什么是.[killhackfiles@cock.li].Devos勒索病毒? 二..[killhackfiles@cock.li].Devos勒索病毒是如何传播感染的? 三.感染 ...
- 数据安全防线:预防.malox勒索病毒的攻击及其数据解密恢复
目录 第一部分:关于.malox勒索病毒的介绍 第二部分:被.malox勒索病毒感染服务器的企业案例: 第三部分:.malox勒索病毒的数据解密恢复的方法 第四部分.预防.malox勒索病毒的有效措施 ...
最新文章
- msql 复杂练习
- PHP 大小写转化函数的笔记
- java 计时器_【java内存】内存结构
- 【渝粤教育】广东开放大学 企业文化学 形成性考核 (57)
- oracle 获取异常 信息,oracle存储过程异常信息的显示
- shell 命令 cmd命令
- 标签打印软件如何制作图文标签
- 海康nvr sdk java调用,海康SDK开发NVR拍照功能
- sci-hub, libgen等科研用文献书籍下载
- javah生成的头文件在方法名前加1
- html里 alt属性什么意思,HTML
- 第十一届“蓝狐网络杯”湖南省大学生计算机程序设计竞赛
- 〖Python WEB 自动化测试实战篇③〗- python-selenium环境配置搭建
- MyBatis 第二扇门
- python篮球-python画篮球
- 关于u盘快捷方式病毒的解决方案
- 2018海康威视前端面经
- 清风:数学建模算法、编程和写作培训
- GPRS连接阿里云物联网平台三
- 菜鸟理财——货币基金
热门文章
- Python绘制传统相关性矩阵/下三角相关性矩阵/重点相关性矩阵
- Lytro发布光场影片,让你感受真正的沉浸式视频体验
- 路由器管理界面登录不上应该怎么办
- Tomcat启动报错 More than one fragment with the name [spring_web] was found. This is not legal with relat
- 牛客寒假算法基础集训营_I炫酷镜子(模拟)
- 2021年西式面点师(中级)复审考试及西式面点师(中级)模拟考试
- 用python爬取实时基金估值
- Oracle 中经常遇到的一些问题
- 用css制作好看的登录注册页面
- Android_Mms源代码接受短信流程