安天应对魔窟勒索软件“WannaCry”周一开机指南

 

     安天安全研究与应急处理中心(安天CERT

一、        背景

安天安全研究与应急处理中心(Antiy CERT)发现,北京时间201751220时左右,全球爆发大规模勒索软件感染事件,我国众多行业的内网网络被大规模感染。教育网受损尤为严重,攻击造成了部分教学系统、校园一卡通系统瘫痪。截止到5140时,事件影响范围逐步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均遭受不同程度的影响。

经过安天CERT紧急分析,判定该勒索软件是一个名称为魔窟“WannaCry”的新家族,目前暂无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017414日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

由于“WannaCry”大规模爆发于北京时间周五晚20点,因此国内还有大量政企机构网络节点尚在关机状态。因此,周一开机已经是一场安全考验。安天修订此前的应急手册,网络管理人员和企事业单位人员可根据此开机指南进行相应操作,防止魔窟WannaCry”勒索软件感染计算机。

二、        周一开机指南

2.1  紧急提醒

如果您已“中招”请先不要急于重装系统、格式化硬盘等破坏加密文档行为,可先关机封存,根据情况考虑:利用数据文件恢复软件尝试恢复,或等待可能出现的解密方案。

2.2  工具准备

工具准备有如下三种方式可供选择:

1、 安天官网下载:

 

序号

工具名称

下载地址

1

蠕虫勒索软件专杀工具(WannaCry

https://www.antiy.com/tools/iep/setup.zip

2

蠕虫勒索软件免疫工具(WannaCry

https://www.antiy.com/response/WannaCry/Vaccine_for_wannacry.zip

3

安天智甲防勒索免费专版

WannaCry

https://www.antiy.com/tools.html

 

2、网盘合集下载:

序号

工具名称

下载地址

1

安天工具集:免疫工具+专杀工具+智甲防勒索免费版

 

光盘版V1.3  ISO   http://pan.baidu.com/s/1hsDWAHm 

U盘版V1.4    http://pan.baidu.com/s/1eSb0Vnk   2010

光盘版ISO V1.4    http://pan.baidu.com/s/1eSoYiFC

免疫与专杀工具Web http://pan.baidu.com/s/1nv9cBAL

 

3、免费领用专用光盘或U盘:

安天已将工具集、操作手册、离线补丁包刻入专用光盘或U盘,您可向客户经理或工程师进行免费领用。

2.3  操作流程

操作步骤流程图

1】前期准备:

1、准备移动U盘或者光盘;

2、下载专杀工具、免疫和防勒索专版工具:

3、下载安天提供的离线版补丁:(根据系统版本下载相应的补丁,如需在线补丁见[5]

4、将下载的三款工具及补丁拷贝至U盘或刻入光盘:

2】准备开机:

拔掉主机网线,开机;

3】免疫、打补丁:

使用蠕虫勒索软件免疫工具(WannaCry)(本工具提供禁用系统服务、设置ipsec本地组策略等功能,能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件,但不能阻断WannaCry在本机上的运行)。

使用指南:

1)双击工具运行

2)需要三项免疫策略全部点击(包括设置策略免疫两项与禁止服务免疫)

(3)  点击官方补丁,通过离线升级包打补丁;或转入微软官网下载补丁。

【4】  专杀:

免疫后,使用蠕虫勒索软件专杀工具(WannaCry),WannaCry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除。(但无法解密已经被加密的文件)

使用指南:

(1)  解压缩“setup.zip”文件;

(2)  管理员运行解压目录中的“setup.exe”文件;

3)稍后(默认无界面安装),安装成功后弹出主界面;

4)点击“一键云查杀”按钮,进行扫描;

5)当检测到病毒后,点击“立即处理”;

 

【5】  安装智甲防勒索专版:

安装安天智甲防勒索免费专版。说明:如已安装安天私有云安全系统,已具备防勒索功能,无需再安装智甲防勒索专版。

6】重启联网:

重新启动机器,插入网线,连接网络。

三、        内网网络开机指南(内网管理员必读!!!)

WannaCry内网具备“开关域名”机制,内网网络中如已有被感染机器,还会向新开机的机器传播感染。

所有内网网络开机风险极高,建议由管理员先建立“开关域名”实现免疫后,其他用户再开机操作。

:内网网络操作步骤流程图

3.1        建立“开关域名”实现免疫

安天CERT的最新分析结论表明,勒索软件的触发机制是否能访问“开关域名”,如果访问成功,则不会触发勒索功能。原始恶意代码中的“开关域名”是iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com(注:“[]”是为了防止误操作点击刻意添加,实际域名中无“[]”), 在20175142341分钟发现恶意代码变种中出现了对“开关域名”篡改的域名www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

注:不建议内网用户直接连接互联网方式进行“开关域名”。

根据此结论,网络管理人员可以先在内部网中建立开关域名,必须搭建内部解析服务。可以通过在内部网络搭建DNS Server,将“开关域名”地址解析到内网WEB ServerIP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。同时,也可以监测内网访问该域名的用户IP地址和用户数量统计出内部用户的感染情况。

特别说明:

1、安天CERT暂未发现不访问“开关域名”即可以加密用户文件的“WannaCry”版本,但不能保证所有已有样本均可以通过此“开关域名”方案免疫该勒索者。

2、安天CERT目前已经在网络中发现有对“开关域名”篡改的恶意代码,所以我们不能保证网络中所有恶意代码实体访问的“开关域名”被恶意篡改,“开关域名”访问过程中被中途拦截而导致对“开关域名”访问不成功,致使恶意代码能够成执行加密用户文档文件。

综上12点所述,安天CERT不建议只采取该单一方案来彻底免疫该勒索者,因恶意代杩攻击者可以开发新的程序、变换“开关域名”、已有样本也可被恶意篡改等众多可能导致该免疫方案不可靠。

3.2        管理员安装生成免疫与专杀工具Web

1、下载安天免疫与专杀工具Web版,下载地址:http://pan.baidu.com/s/1nv9cBAL

2、解压文件,并复制nginx文件夹到任意盘根目录或纯英文目录。

3、在文件内找到并运行nginx.exe

如弹出防火墙提示,如图所示,选择所在的网络点击“允许访问”。

打开浏览器,地址栏输入http://127.0.0.1http://localhost即可访问:如图所示:

3.3        内网用户开机

1、管理员设置该网页的访问地址;

2、内网用户访问网页后,按照网页提示逐步操作即可。

四、        WannaCry勒索者感染的用户补救方案

如果用户机器被感染该勒索者,则机器屏幕会显示如下勒索界面:

1、 首先拔掉网线,与内网其他机器隔离;

2、 使用蠕虫勒索软件免疫工具(WannaCry)免疫;

3、 使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

4、 使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;

5、 如有重要文件,可尝试文件数据恢复,或等待可能出现解密方案。

五、        参考链接

[1]   蠕虫勒索软件专杀工具(WannaCry

https://www.antiy.com/response/WannaCry/ATScanner.zip

[2]   蠕虫勒索软件免疫工具(WannaCry

https://www.antiy.com/response/WannaCry/Vaccine_for_wannacry.zip

[3]   安天应对勒索软件“WannaCry”配置指南

https://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html

[4] 安天提供离线版补丁下载地址: http://pan.baidu.com/s/1kVkeqEF

[5] 微软补丁地址:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

关于安天


安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。

全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。

安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。


关于安天反病毒引擎更多信息请访问:

https://www.antiy.com(中文)
http://www.antiy.net (英文)

关于安天反APT相关产品更多信息请访问:

https://www.antiy.cn


 

 

微信扫描关注 安天