安天蠕虫式勒索软件WannaCry免疫工具FAQ 4

 

     安天安全研究与应急处理中心(安天CERT

Q1:新版免疫工具针对Petya增加了哪些功能?

魔窟蠕虫免疫工具对必加(Petya)病毒依然有效。针对Petya Petya会利用已感染主机口令尝试登录其他计算机的特点,新版免疫工具加入了空口令探测功能,提示用户采用强口令。

Q2:新版免疫工具针对Petya为什么没有加入弱口令探测功能?

弱口令探测需要反复尝试登录,类似于口令猜解,属于恶意行为,容易导致账户锁定,所以没有加入。安天提示您使用至少8位以上,包含字母、数字、符号等元素的强口令。

Q3:为什么使用安天免疫工具后,端口还是处于listening状态?

安天免疫工具中提供的组策略设置,其目的是在于阻止端口的连接,使用免疫工具后,端口虽然处于开放状态,但此时已无法连接至这些端口。



下图是设置后,windows Vista、Windows 7、Windows 8.1和Windows 10操作系统的连接测试,均无法建立连接。

Q4:为什么XP下安天免疫工具有一部分功能不能使用?

采用组策略防护的方式,只能在Vista及之后的系统,因此,组策略防护的功能在XP下并不能使用,用户可以使用“禁用服务免疫”的方式对xp系统进行防护。

Q5:安天免疫工具提供的几种防护选项有什么区别?

目前免疫工具提供了三种设置项,用户可以根据自己的不同需求进行配置,选择一种配置项即可。这三种设置项的区别如下:

常规型组策略设置:该策略适用于Windows Vista及之后系统,仅阻止445端口的连接,推荐Windows Vista及之后系统的用户优先使用。

增强型组策略设置:该策略适用于Windows Vista及之后系统,在常规型组策略设置的基础上,进一步阻止135、137、138和139端口,防止可能之后可能出现的变种病毒传播。

禁用服务免疫设置:此项设置适用于Windows XP和Windows 2003系统,设置后会关闭部分系统服务,阻止病毒传播,但有可能影响其他系统功能,推荐XP和2003系统的用户使用。

Q6:为什么点击“官方补丁”后,出现安装失败的情况?

出现此类现象通常是由于机器长时间没有安装补丁造成的,使得安装MS17-010补丁时缺少基础补丁,造成不能安装补丁。可以采取两种方式来解决此类问题,一是使用windows自动更新,把以往的补丁都安装上,此时MS17-010补丁也会被安装。二是安装相应的基础补丁,各类系统所需的基础补丁如下图所示。


如果满足要求仍出现安装失败的情况,请自行参考附带的微软官方文档《勒索病毒 Ransom:Win32/WannaCrypt防范及修复指南 – 版本 1》,寻找补丁下载地址。

Q7:点击取消设置提示取消失败怎么办?

如果您设置了组策略免疫或增强型组策略免疫,当取消设置失败时,手动解决方案如下:

  1. WIN+R,输入regedit,打开注册表编辑器
  2. 打开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local注册表键
  3. 如果您设置了普通免疫,请:删除ActivePolicy键值
  4. 删除如下子键:

    ipsecFilter{c5e3a2dd-0724-4a4a-95e1-3955d4225f94}
    ipsecISAKMPPolicy{db2d181d-9d99-4517-8afb-b8f2271396ae}
    ipsecNegotiationPolicy{8ebde77f-2544-471e-b8d1-9dd3686c65b2}
    ipsecNegotiationPolicy{db81ee36-0d97-4034-9c7a-21f9f62c47ba}
    ipsecNFA{4fb6c29d-b0aa-443e-a6c3-fb0e9ef049bf}
    ipsecNFA{9252e8e8-3e3c-44a5-a9f2-e1e2dd011752}
    ipsecPolicy{96faef1f-6fbd-496b-abe8-d001bfc71ace}
    重启计算机

  5. 如果您设置了增强免疫,请:删除ActivePolicy键值

删除如下子键:
ipsecFilter{28e6d561-46f9-4f62-9985-dacb356c4433}
ipsecFilter{2fd6b561-2765-4114-8d40-1c030e0e5a52}
ipsecFilter{616bea5c-89c8-4208-8368-76c53a48bda0}
ipsecFilter{7c2164cc-ee46-46a1-a854-27220f4464d8}
ipsecFilter{e6d3e437-f7b3-45b0-966c-75f8d62ecbc8}
ipsecISAKMPPolicy{e61961f4-ccdf-40c8-a076-8989316883ac}
ipsecNegotiationPolicy{73f08e09-036d-4917-b46e-5653a1b8aacf}
ipsecNegotiationPolicy{e9de74cc-3fa3-48f8-bbc2-9dd7409e5ba7}
ipsecNFA{0572b074-1fd6-406e-b226-0cdaf634f4a5}
ipsecNFA{0abc70a8-bc85-4803-a789-5fe1eb9bd8b2}
ipsecNFA{12eccf18-42d3-4e21-8fce-dcf919585ed0}
ipsecNFA{3abc10bb-125c-4f20-ad72-52aa6b0d50d3}
ipsecNFA{d6f5e7de-c889-442f-a43d-3b794898751d}
ipsecNFA{f179df50-8952-424a-9625-f409a22e8f1f}
ipsecPolicy{607841aa-a3d8-47a2-a33d-a6e16b4162ad}
重启计算机

组策略方式免疫仅对此键值进行了设置,删除此键值并重启后计算机异常与免疫工具无关。
如果您设置了禁用服务免疫,当取消设置失败时,手动解决方案如下:

  1. WIN+R,输入services.msc,打开服务管理器
  2. 定位到Server服务,双击,在启动类型中选择“自动”
  3. 重启计算机

禁用服务方式免疫仅对此服务进行了设置,取消禁用并重启后计算机异常与免疫工具无关。

关于安天


安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。

全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。

安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。


关于安天反病毒引擎更多信息请访问:

https://www.antiy.com(中文)
http://www.antiy.net (英文)

关于安天反APT相关产品更多信息请访问:

https://www.antiy.cn


 

 

微信扫描关注 安天