如同其他大多數勒索軟件一樣,Ransom:Win32/WannaCrypt通過社會工程學嘗試感染目標組織的環境,通常爲帶有惡意宏的Office文檔附件的釣魚郵件。一旦感染環境中的一臺計算機後,該變種會嘗試利用Microsoft在MS17-010補丁中修復的SMBv1的漏洞在內網中主動傳播。這一蠕蟲行爲是真正讓這一變種帶來如此巨大影響的原因。
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
微軟於5月14日中午已經發布了針對此病毒的官方應對指南,本文爲整合官方指南的簡版。
由於格式問題,推薦下載本文的Word版或PDF版,以及微軟官方應對指南PDF。
感染以後的症狀
當系統被該勒索軟件感染後,彈出勒索對話框:
文檔被加密,後綴名被更改爲WNCRY(已經出現變異版本)。可被加密的文檔類型 參考https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
漏洞應對指南
首先,一旦計算機被感染文檔被加密,由於無法獲取加密所用私鑰,從技術角度無法解密這些文檔。唯一的恢復手段是通過已有的備份進行恢復。確保對關鍵文檔數據進行有效備份是保護數據的最主要方式。
沒有被感染,預防防禦辦法(非常重要)
(1) 首要任務確定您的反病毒軟件更新到最新並可以查殺該勒索軟件。Microsoft反病毒產品病毒庫版本1.243.290.0及以上可以查殺當前發現的這一變種。如您使用其他反病毒軟件,建議與相應廠商確認。
(2) 確保終端用戶理解他們不應打開任何可疑的附件,即使他們看到一個熟悉的圖標(PDF或Office文檔)。
(3) 確保MS17-010補丁在所有計算機上安裝,推薦安裝最新的Microsoft安全補丁,並將其他第三方軟件更新到最新。請參考下面的《安裝微軟官方修復補丁》。
(4) 使用正版Windows軟件和正版Office軟件,並啓用Windows防火牆和Windows更新。請參考:
http://reinember.blog.51cto.com/2919431/1925408
(5) 445,135等端口是Windows系統服務正常運行所需要的端口,正常情況下不能輕易關閉,關閉極有可能引起嚴重的次生故障。在安裝微軟官方修復補丁之後,無需關閉這些端口。
暫時無法安裝補丁臨時處理方法
由於特殊原因計算機無法斷網以及安裝補丁,此方法僅適用於Windows Vista以上版本的系統。以下變通辦法在您遇到的情形中可能會有所幫助:
禁用 SMBv1
對於運行 Windows Vista 及更高版本的客戶
請參閱Microsoft 知識庫文章 2696547
適用於運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶的替代方法
對於客戶端操作系統:
打開"控制面板",單擊"程序",然後單擊"打開或關閉 Windows 功能"。
在"Windows 功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持"複選框,然後單擊"確定"以關閉此窗口。
重啓系統。
對於服務器操作系統:
打開"服務器管理器",單擊"管理"菜單,然後選擇"刪除角色和功能"。
在"功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持”複選框,然後單擊“確定”以關閉此窗口。
重啓系統。
如果已經被感染怎麼辦
A. 隔離已感染計算機,在工作域裏脫域,拔掉網線,關閉受感染計算機。
B. 考慮通過Windows防火牆阻止445端口入站通訊,或禁用Server服務
注意:此操作將阻止所有的文件共享服務,可能給環境帶來較大影響,如未發現已感染計算機不建議進行此項操作
C. 如果您的反病毒軟件暫時無法查殺該變種,您可以使用Microsoft Safety Scanner https://www.microsoft.com/security/scanner/en-us/default.aspx對受感染計算機進行完全掃描
D. 從備份中恢復文件
E. 同樣實施以上防禦措施
安裝微軟官方修復補丁
可以修復漏洞的安全更新(文件最小的)是哪些
操作系統 | 知識庫文章號碼 | 安裝先決條件 | 備註 |
Windows XP | KB4012598 | Service Pack 2或者Service Pack 3 | |
*Service Pack 2 沒有中文版本更新 | |||
Windows 8 | KB4012598 | 無 | |
Windows Server 2003 SP2 | KB4012598 | Service Pack 2 | |
Windows Vista SP2/Server 2008 SP2 | KB4012598 | Service Pack 2 | |
Windows 7 SP1/Windows Server 2008 R2 SP1 | KB4012212 | Service Pack 1 | 2017年3月的僅安全更新 |
Windows Server 2012 | KB4012214 | 無 | 2017年3月的僅安全更新 |
Windows 8.1/Windows Server 2012 R2 | KB4012213 | KB2919355 | 2017年3月的僅安全更新 |
*需要先安裝KB3021910,然後才能安裝KB2919355 | |||
Windows 10 RTM | KB4012206 | 無 | 累積安全更新 |
Windows 10 1511 | KB4013198 | 無 | 累積安全更新 |
Windows 10 1607 | Server 2016 | KB4013429 | 無 | 累積安全更新 |
必須滿足“安裝先決條件”才能安裝更新。
· 對於Windows Server 2012 R2,需要先安裝KB3021910,然後才能安裝KB2919355
· 對於Windows 7 SP1/ Windows Server 2008 R2, 如果沒有安裝過任何更新,請先安裝KB3125574(兼容性已知問題,請參考知識庫文章https://support.microsoft.com/en-us/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2-sp1)。否則可能需要花費5到6小時索引系統,才能開始安裝安全更新。
微軟官方補丁下載
操作系統 | 下載鏈接(可使用瀏覽器,可用下載工具) |
桌面操作系統 | |
32位Windows XP SP3 | 下載地址1: 下載地址2: 下載地址3: http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe |
64位Windows XP SP2 | 下載地址1: |
32位Windows Vista | 下載地址1: |
64位 Windows Vista | 下載地址1: |
32位Windows 7 | 下載地址1: |
64位Windows 7 | 下載地址1: |
32位 Windows 8 | 下載地址1: |
64位 Windows 8 | 下載地址1: |
32位Windows 8.1 | 下載地址1: |
64位Windows 8.1 | 下載地址1: |
32位Windows 10 版本1511 | 下載地址1: |
64位 Windows 10 版本1511 | 下載地址1: |
64位Windows 10 版本1607 | 下載地址1: |
32位Windows 10 版本1607 | 下載地址1: |
32位Windows 10 版本1703 | 下載地址1: |
64位Windows 10 版本1703 | 下載地址1: |
32位Windows 10 版本1705 | 下載地址1: |
64位Windows 10 版本1705 | 下載地址1: |
服務器操作系統 | |
32位 Windows Server 2003 | 下載地址1: 下載地址2: 下載地址3: |
64位Windows Server 2003 | 下載地址1: 下載地址2: 下載地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe |
32位Windows Server 2008 | 下載地址1: |
64位Windows Server 2008 | 下載地址1: |
安騰Windows Server 2008 | |
64位Windows Server 2008 R2 | |
安騰Windows Server 2008 R2 | |
64位Windows Server 2012 | |
64位Windows Server 2012 R2 | |
64位Windows Server 2016 | |
嵌入式操作系統 | |
Windows XP SP3 嵌入式 | 下載地址1: 下載地址2: 下載地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe |
Windows XP 嵌入式WES09以及 POSReady 2009 | 下載地址1: 下載地址2: 下載地址3: |
32位Windows Embedded 7嵌入式標準版 | 下載地址1: |
64位Windows Embedded 7嵌入式標準版 | 下載地址1: |
32位Windows Embedded 8 嵌入式標準版 | 下載地址1: |
64位Windows Embedded 8嵌入式標準版 | 下載地址1: |
微軟官方技術團隊Q&A
Q:安裝時提示此更新不適用於您的計算機,怎麼辦?
A:請確認系統滿足了先決條件再安裝。例如WindowsServer 2008 R2, 必須在Service Pack 1 安裝完成後,才能安裝這次涉及到的安全更新。
Q:如何判斷是否已經安裝了正確的補丁?
A:首先重啓系統。然後對於Vista SP2/Server2008 SP2開始的系統,可以使用PowerShell 命令Get-hotfix 來確認。
Q:即使安裝了針對MS17-010的補丁還有可能中招,如果中招了是否可以殺毒,還是必須重裝?此時系統還會傳播勒索軟件嗎?
A:請參考“如果已經被感染了怎麼辦”這一部分。安裝更新並不阻止系統發送惡意請求。此時環境中沒有安裝安全更新的系統將處於高危階段。
Q:如果是2003的能夠尋求微軟的幫助嗎?
A:Windows Server 2003 Service Pack 2已經結束支持週期2年了。微軟針對這次事件,特地破例發佈2003 SP2的漏洞修復——安全更新。您無需撥打我們的服務熱線,查閱“微軟官方補丁下載”部分。
Q:WannaCrypt是否會跨網段傳播?
A:會
Q:如果Windows Server 2008 SP2安裝重啓後,安全更新被回退了,怎麼辦?
A:請聯繫Premier 熱線服務電話,開啓案例分析解決。
Q:SMB V1 (關閉445端口)如果停止了會有什麼影響?
A:SMB v1是從WindowsVista SP2/Windows Server 2008 SP2開始引入的。如果停止掉,Vista/Server 2008 之前的系統(XP/Server 2003)就無法訪問共享。Computer Browser服務也會受到影響。如果系統上有較多應用依存於SMB v1的話,這些應用可能無法使用。
Q:感染了的話,付錢是否能解決問題,是否有其他隱患?
A:您的資產的價值需要您來評估,最終由您決定是否值得付錢解決,付錢並非一定能解決問題。
Q:如果要重新安裝系統,只格式化C盤就可以了還是需要全盤格式化?
A:如果沒有專業的事件分析,很難說是否需要所有磁盤格式化,在沒有專家診斷之前建議全盤格式化處理。
Q:目前看到傳播的速度多快?是否可能手工停止病毒進程來防範?
A:勒索軟件一般採用非對稱祕鑰加密算法加密祕鑰,然後用對稱祕鑰和這個祕鑰來快速把文件進行加密。加密文件並不僅僅侷限於文本類型文件。整個加密的過程本身是比較快的。往往在人們感知到時,已經非常晚了。我們微軟的防病毒軟件可以檢測客戶端上進程的行爲,如果發現類似勒索軟件的惡意行爲,在沒有準確病毒庫下也會攔截。雖然攔截速度和快,還是有可能不幸您的部分重要文件已經被加密。
Q:針對SMB的漏洞我們有了更新修復。那麼勒索軟件利用的宏命令,未來會有修復嗎?
A:應注意這個宏命令本身並不是一個漏洞。只是被別有用心的人利用。