我们的环境中可能因为机器太老,都是512内存。xp系统。所以还没有出现过这样的事件。不过我们还是做了一些准备,一些数据恢复的公司号称可以恢复文件,还有可以通过备份数据来恢复被感染的服务器。对于个人终端。就只能是叮嘱他们做好个人重要文件的备份了
收起我所维护的服务器主要也是LInux服务器,从这方面来说,Linux的安全性确实好于Windows,但是,Linux由于缺少几张的账户管理机制,所以,比较容易犯的错误就是密码管理上的错误,例如,有不少企业为了方便,所有服务器的root密码一样并且没有确定修改周期。
基于这个情况,勒索病毒爆发后,我们针对linux服务器也做了一些防护,包括:
总体来说,勒索病毒对linux的安全加固也是一个促进作用,谁能确定,以后linux里面不会也爆发这样一个后门呢,防患与未然吧。
收起“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,就可能被已感染的主机传染,植入勒索病毒等恶意程序。
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。
我们公司的解决方案
安全防护现状:公司的网络出口有防火墙隔离,IPS在4月份已更新了针对MS17-010漏洞的防护策略,可以有效的阻止外网直接入侵。公司邮件服务器前部署了邮件安全网关,可以有效拦截垃圾邮件。公司内部的补丁服务器(WSUS)每天与微软同步更新,内部服务器部分已进行了更新。今年4月21日公司信息管理部已发过一次通告,但还有很多服务器没有及时打补丁,存在潜在风险。
另外办公终端,接入办公网络的个人移动电脑和远程VPN接入公司网络的电脑等也有大量未及时更新补丁,对内部网络构成潜在风险。特别是个人移动电脑可能接入各种网络,容易被病毒传播感染。望大家提高警惕,加强信息安全防护,及时更新补丁和升级杀毒软件,不明链接不要点击,不明文件不要下载。
修复方案
1. 利用 Windows Update 进行系统更新。打开控制面板,启动Windows 自动更新,安装操作系统补丁。针对这次勒索病毒传播,还可以直接访问以下地址,下载安装针对NSA泄漏漏洞的安全补丁。https://technet.microsoft.com/zh-cn/library/security/MS17-010。对于XP等老旧系统,微软也提供了补丁,下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。在公司内部可以使用公司的WSUS服务更新。
2. 安装并更新杀毒软件,保持安全防御功能开启。公司已统一购买了卡巴和趋势杀毒两套软件,大家可任选一种。
3. 关闭445端口或防火墙屏蔽445端口。关闭方法:打开控制面板—网络和共享中心—更改适配器设置—右键点击正在使用的网卡的属性—取消勾选文件和打印机共享—然后点击确定并重新启动您的系统。 有提供文件共享和打印服务的电脑请不要执行该条措施,以免影响打印和文件共享服务正常使用。
4. 谨慎打开不明邮件文档,禁用office宏,钓鱼邮件是勒索病毒传播的一个重要渠道。
5. 及时备份个人重要文件。
勒索病毒中招尝试解决方案
目前勒索软件采用的都是2048甚至4096位高强度加密算法, 因此使用暴力破解的方法基本无望的。可下载开源的脚本(需要python3环境)来运行尝试恢复。 下载链接:https://github.com/QuantumLiu/antiBTCHack