附件1:面向全体网络管理员的解决方案文档(解决服务器和网络方面的安全隐患)
附件2:面向全体用户的解决方案文档(通过免疫工具和补丁完成电脑端SMB漏洞的修复)
附件3:深信服针对PC防护勒索病毒的建议指导
附件4:深信服NGAF针对勒索病毒的配置指导
附件5:深信服AC针对勒索病毒的配置指导
相关链接:
病毒介绍
2017年5月12日起, 全球性爆发勒索病毒WannaCry ,经研究,此次为不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入病毒。
系统中招后,病毒会加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,病更改终端背景图片提出勒索要求,如下:
应对措施
一 、PC终端的隔离与加固
1、针对已被感染的计算机
已被感染的计算机请立即隔离,禁用所有有线及无线网卡或直接拔掉网线。
不要删除或损坏被加密数据,待后续解决方案。
2、针对暂未被感染的计算机
如计算机暂未被感染,为加强保护,避免被感染,请下载智安全Wannacry免疫工具,在计算机上执行,并选择“立即免疫”。
下载工具,一键免疫:>>智安全Wannacry免疫工具
工具使用说明:
1)、请以系统管理员权限运行本工具;
2)、执行本工具时,如有杀软提醒,请选择“允许”;
工具详细说明:>>工具说明
系统补丁未更新的,请按如下指示进行更新:http://sec.sangfor.com.cn/vulns/314.html
3)、针对已部署深信服行为管理设备的客户,可以通过配置终端提示页面,提醒用户安装免疫工具
在上网策略中,新增终端提醒策略
时间选择每隔 5 分钟
此策略至少开启 1 小时后再禁用,以保证所有人都能收到提醒
4)针对已经部署深信服防火墙的客户,每日首次登陆可获取最新威胁情报提醒,之后点击“威胁情报预警与处置”获取详情。点击“立即扫描”主动发现主机风险,如下图所示:
二、 网络边界设备的策略优化
【部署AF客户的策略建议】
1. 禁止外网对内网135/137/138/139/445端口的访问,切断外部攻击途径。(TCP/UDP都要关闭)
然后配置应用控制策略,阻断这几个端口的流量,如下图3所示(注意区域选择全部):
2. 更新漏洞识别库至20170415(4月15日发布)及以上版本,并配置阻断策略。
1)确认入侵防护规则中,包含WannaCry阻断规则
2)确认配置了阻断策略,并保证该策略在IPS防护策略的第一条
【部署AC客户的策略建议】
禁止外网对内网135/137/138/139/445端口的访问,切断外部攻击途径(TCP/UDP都要关闭)
A. 新增网络服务
在对象定义->网络服务中,新增一个网络服务
B. 新增防火墙规则
在防火墙->过滤规则-> WAN<->LAN 中,新增规则
三、 针对有域名的网站,排查有无“永恒之蓝”MS17-010 漏洞
登录深信服网站安全监测服务首页(https://rm.sangfor.net.cn),点击注册,联系当地一线,协助注册(需要输入一线工号,提供验证码之后即可注册成功),领取网站安全监测服务,监测“永恒之蓝”MS17-010 漏洞是否存在。
|
扫一扫,关注我们