查看: 6116|回复: 20
收起左侧

[分享] “永恒之蓝”勒索蠕虫(MS17-010)漏洞事前防范与应急处置

[复制链接]
早春新柳
发表于 2017-5-15 19:33:49 | 显示全部楼层 |阅读模式
本帖最后由 早春新柳 于 2017-5-19 10:25 编辑

   针对近期肆虐全球的“永恒之蓝”勒索蠕虫病毒,为有效预防病毒的入侵,将被病毒入侵后的损失降到最低,下面整理了相关应急处置办法,供大家参考使用。防范和处理“永恒之蓝”勒索蠕虫病毒的方法很多,大家可根据自己的实际情况进行处理。

一、事前防范方法

1、及时安装微软MS17-010补丁封堵“永恒之蓝”漏洞

目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁

Win7 x64 补丁下载地址:http://download.windowsupdate.co ... 09a992d8c4e92b3.msu

Win7 x86 补丁下载地址:http://download.windowsupdate.co ... e7169812914df3f.msu

Win10 x64 补丁下载地址:http://download.windowsupdate.co ... 6be5b35127f8773.msu

Win10 x86 补丁下载地址:http://download.windowsupdate.co ... 619e4a8e8d3492e.msu

XP和win2003补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

其他补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010

      在安装补丁之前首先要确保Windows updata服务、Windows Install服务和BITS服务已经启动,如果没启动这三个服务,安装补丁就会失败。
开启服务的方法:(1)右击桌面图标计算机图标--->点击“管理”,打开计算机管理页面(2)在计算机管理页面点击-->服务和应用程序-->服务,找到服务名Windows Install,如果状态不是”已启动”,则说明服务没有启动,点击-->启动此服务。用同样的方法开启另外两个服务windows updata和BITS(Background IntelligentTransfer Service)。

2、使用360漏洞检测修复工具对
系漏洞进行检测修复和免疫

(1)NSA武器库免疫工具下载地址:https://dl.360safe.com/nsa/nsatool.exe

MD5: DA8E9875D20D11C8DFEEEAD9D9072A04
SHA1: E0EC0FD0EEFB2227BB450A397AD318DF40FE1E70
CRC32: 54275A14



(2)MS17-010漏洞修复工具下载地址:https://down.b.360.cn/EternalBlueFix.zip
MD5: 3546C6F87914282C0A03696997ADBE42
SHA1: A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
CRC32: 17337EBD



(3)永恒之蓝”勒索蠕虫免疫工具,可用于主机免疫勒索蠕虫的破坏过程,下载地址:http://b.360.cn/other/onionwormimmune
MD5: A66F4A128E906AB9F4384F60B2DC6307
SHA1: 9E49A7C37FEE83D7A27F089BD3576C9C276500E1
CRC32: F5370DBC



3、关闭相关端口,阻断外来非授权访问

(1)Win7、Win8、Win10的处理流程

①通过防火墙关闭

可通过开启系统防火墙,利用系统防火墙高级设置阻止向445等端口进行连接(该操作会影响使用445等端口的服务),具体操作过程如下:

打开控制面板



系统与安全



Windows防火墙,点击左侧启动或关闭Windows防火墙



选择启动防火墙,并点击确定



点击高级设置





点击入站规则-新建规则






选择端口,下一步



特定本地端口,输入445,下一步



选择阻止连接,下一步



配置文件,全选,下一步



名称,可以任意输入,完成即可。



通过Windows组策略关闭

可通过Windows组策略来一次性关闭所有想要关闭
139、135、445等危险端口,具体操作方法/步骤如下:

在“开始”菜单选择“运行”,输入“gpedit.msc”后回车,打开本地组策略编辑器。依次展开“计算机配置-Windows设置-安全设置-ip安全策略,在 本地计算机”





以关闭445端口为例(其他端口操作相同):
在本地组策略编辑器右边空白处 右键单击鼠标,选择“创建IP安全策略”,弹出IP安全策略向导对话框,单击下一步;在出现的对话框中的名称处写“关闭端口”(可随意填写),点击下一步;对话框中的“激活默认响应规则”选项不要勾选,然后单击下一步;勾选“编辑属性”,单击完成。











在出现的“关闭端口 属性”对话框中,选择“规则”选项卡,去掉“使用 添加向导”前边的勾后,单击“添加”按钮。



在弹出的“新规则 属性”对话框中,选择“IP筛选器列表”选项卡,单击左下角的“添加”



出现添加对话框,名称出填“封445端口”(可随意填写),去掉“使用 添加向导”前边的勾后,单击右边的“添加”按钮



在出现的“IP筛选器 属性”对话框中,选择“地址”选项卡,“源地址”选择“任何”,“目标地址”选择“我的IP地址”;   选择“协议”选项卡,各项设置如图片中所示。设置好后点击“确定”。





返回到“ip筛选器列表”,点击“确定”。返回到“新规则 属性”对话框



在ip筛选器列表中选择刚才添加的“封445端口”,然后选择“筛选器操作”选项卡,,去掉“使用 添加向导”前面的勾,单击“添加”按钮





在“筛选器操作 属性”中,选择“安全方法”选项卡,选择“阻止”选项;在“常规”选项卡中,对该操作命名,点确定





选中刚才新建的“445”,单击关闭,返回到“关闭端口 属性“对话框,确认“IP安全规则”中 封端口 规则被选中后,单击 确定





在组策略编辑器中,可以看到刚才新建的“关闭端口”规则,选中它并单击鼠标右键,选择“分配”选项,使该规则开始应用!



到此,设置告成,同样的方法你可以添加对任何你想限制访问的端口的规则。注意:IPSEC Services这个服务千万不能停止哦,停止了ip策略就失去作用了。

③通过命令提示符关闭

点击“开始”-“所有程序”-“附件”-“命令提示符”-鼠标右键点击“以管理员身份运行”打开命令提示符窗口,然后在命令提示符窗口依次输入以下2条命令(以关闭445端口为例,关闭其他端口可参照执行)

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445









④通过批处理工具一键关闭

也可以下载使用“一键关闭139、445端口等危险端口工具”,一键关闭135、137、138、139、445等危险端口,下载附件解压后,以管理员权限运行“一键关闭139、445端口等危险端口工具”批处理,依提示操作即可。









一键关闭139、445端口等危险端口工具.zip (1.04 KB, 下载次数: 151)

评分

参与人数 2人气 +2 收起 理由
天耀群星 + 1 版区有你更精彩: )
zhuzao110 + 1 版区有你更精彩: )

查看全部评分

kflt2016
发表于 2017-5-15 20:59:37 | 显示全部楼层
不错,比那个什么涂师傅免费帮用户的广告贴强多了,感谢分享
早春新柳
 楼主| 发表于 2017-5-15 21:40:42 | 显示全部楼层
本帖最后由 早春新柳 于 2017-5-15 21:43 编辑
kflt2016 发表于 2017-5-15 20:59
不错,比那个什么涂师傅免费帮用户的广告贴强多了,感谢分享

这次系统漏洞事件是由微软漏洞和后门造成的,今后不知道会有多少类似的安全事件发生,微软的windows和office系列漏洞和后门太多了,防不胜防,只要上网,就会给美国政府黑客敞开大门,不仅仅windows系统和软件存在这个问题,苹果和安卓系统也好不到哪去,一定增强网络安全自我防范意识,否则不知什么时候就会中招!
kflt2016
发表于 2017-5-15 22:03:03 来自手机 | 显示全部楼层
早春新柳 发表于 2017-5-15 21:40
这次系统漏洞事件是由微软漏洞和后门造成的,今后不知道会有多少类似的安全事件发生,微软的windows和off ...

本以为勒索病毒很遥远,没想到最近几天爆发了,我们这里的有几家加油站中了勒索病毒,现在只能收现金。
qiugang
发表于 2017-5-15 23:37:06 | 显示全部楼层
感谢分享
yssazx
发表于 2017-5-16 11:45:56 | 显示全部楼层
感谢分享
ojkjkjkj
发表于 2017-5-17 12:17:56 | 显示全部楼层
很详细 谢谢分享
i5290667
发表于 2017-5-17 17:34:52 | 显示全部楼层
是那个BAT批处理,下载失效了呀
早春新柳
 楼主| 发表于 2017-5-18 09:42:36 | 显示全部楼层
i5290667 发表于 2017-5-17 17:34
是那个BAT批处理,下载失效了呀

经测试可以下载
天耀群星
发表于 2017-5-18 11:08:26 | 显示全部楼层
已经按上面说的做了。谢谢楼主
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-7-28 12:41 , Processed in 0.113648 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表