文章中心 article

您现在的位置:首页 > 文章中心 > 咱的故事 > “永恒之蓝”勒索病毒解决方案-艺创科技原创文章

最新新闻news

“永恒之蓝”勒索病毒解决方案-艺创科技原创文章

这次的“永恒之蓝”勒索蠕虫,是 NSA 网络军火民用化的全球第一例。一个月前,第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为 5 万多元和 2000 多元。

ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

国内受影响的区域越来越大,以下是艺创公司工作人员在实际情况中遇到的个别案例:

微信图片_20170515200404 微信图片_20170515200419 微信图片_20170515200422

根据艺创公司技术分析,此次的病毒行为至少在半个月前就开始了,为何直到2天前才爆发,我估计是为了感染足够的用户。大家应该知道,暴力的病毒虽然伤害高、威力大,但是很快就会被找到对应的解决办法,不足以给病毒制造者带来足够多的利益。我们猜测,在半个月前病毒开始通过互联网端口扫描的形式,扫描开放了445端口的电脑,然后植入病毒。。利用被感染的电脑,直接在内网进行传播。(NAT是天然的防火墙,所以最好的感染形式是想办法感染一台电脑,然后由这台电脑直接利用局域网进行扫描攻击)。

为何华为、锐捷深信服这类大公司的防火墙防不住这个病毒?

首先,防火墙的原理不讲复杂,可以想象为一个网络版的杀毒软件。防火墙也是有病毒库的,在没有发现这类病毒时,是不会进行拦截的。所以防火墙拦不住。

如果以后再遇到这类的情况怎么办?

艺创推出的电信级安全交换机在设计之初,充分考虑到了这类情况(其实华为、华三早就有解决案例,只是大家不重视)。

利用交换机的扩展ACL进行拦截。

第一步:先允许大家访问共享打印机192.168.0.250的445端口。不然单位的打印机就要退休了。

per

第二部分:禁止任何机器以任何形式访问任何目标机器的445端口,彻底防御病毒传播。

微信图片_20170515202203

 

同时我们建议将1000以下的端口全部封掉,要知道,21,22,23,135-139,445,可是肉鸡大户,防得住外贼,防不住家贼。

在此,我们特别鄙视一下个别公司及其不负责任的言论,表示安装正版操作系统和使用某某品牌防火墙可以解决这个问题。外网能解决,通过U盘传播到内网,再由内网进行漏洞攻击也能防住吗?正版操作系统就不受攻击了吗?要知道老外用正版windows的不在少数也中招。

同时建议大家使用杀毒软件的文件保护功能,任何程序试图加密文件,杀毒软件都会阻止,修改个文件名杀毒软件都会提示是不是本人操作,虽然不排除杀毒软件也会被病毒干掉的可能。

以上解决方案,支持的交换机品牌有:华为、华三、锐捷、思科、中兴、烽火、艺创。请大家根据自己的实力进行产品升级。

不要迷恋WEB式、鼠标点、命令行才是真功夫。。。。。

尊重原创、转发请说明来自成都艺创科技。

联系电话:400-0505-455/ 电子邮箱: info@e-strong.cn/ 请在工作日9:00~ 18:00 联系我们,其他时间请发送邮件.

姓 名:
邮箱
留 言:
点击这里给我发消息 点击这里给我发消息 点击这里给我发消息 点击这里给我发消息 点击这里给我发消息