WannaCry勒索病毒应急响应措施,此病毒可在局域网内通过445端口自行传播,为了避免上班后刚开机就被感染,且把硬盘所有文件都加密,请开机前先断网,按顺序执行如下4条防护操作,windows服务器运维人员请尽早执行。 已经发现自己中病毒,文件被加密的电脑、服务器,禁止接入网络! 防护操作:
- 断网(拔网线)
- 开机(若关机状态)
- 关闭445端口并确认(如自行可处理):本机cmd窗口执行命令"netstat -ano | findstr ":445"",回车后无任何返回。
- 联系企业IT运维或安全人员协助离线打补丁
务必注意以下两点:
1、 尽可能保持主机关闭以及断网状态:部分解决方案建议通过联网下载修复工具的方式对漏洞进行修补,这种行为在当前的互联网环境下是非常危险的,已经发现有部分处于专网内的用户在打开电脑联网下载修复工具时被蠕虫感染。这是由于存在漏洞的主机在联网的同时,会迅速的被蠕虫扫描到,相当于给了蠕虫可乘之机。建议如主机未开机,继续保持主机关闭,并拔掉网线,关闭Wifi等可能的网络接入。
2、 付费风险:部分中招主机可能包含关键信息,企业处于业务考虑可能会考虑通过比特币付款,目前尚未确认付款可以恢复数据,建议企业慎重考虑。
人工排查:
1. 对于未开机的主机,风险排查确认网络中不存在感染主机后,断开网络后再进行开机检查;
2. 对于持续开机运行的主机,人工查看是否感染了勒索蠕虫病毒。
3. 若感染病毒,立即断网隔离,等待下一步处置;
4.若未感染病毒,断网查看是否安装了相关的安全补丁;
网络抓包:
若网络中存在被感染主机,则WannaCry病毒会利用ms17-010中的SMB漏洞进行持续不断的攻击,接着通过doublepulsar后门向victim发送恶意程序并执行。因此,接入主机可通过抓取网络层流量,查看是否存在感染主机。具体操作过程如下:
- 接入设备(设备系统已升级至最新补丁,确定不会受蠕虫病毒感染),开放445端口;
- 打开抓包工具wireshark,监听本地网卡,抓取网络层流量。
风险定位:
通过主动检测和被动检测的方式,排查网段中是否存在被感染主机,若排查确认存在,则通过IP/MAC定位主机,然后人工确认是否误报并判断是否感染病毒,进行下一步处理。
根据NIPS病毒感染探测和RSAS漏洞风险检测交叉得出风险评估结论:
l 无主机感染+无漏洞影响=安全;
l 无主机感染+有漏洞影响=有风险;
感染主机处置:
针对已感染WannaCry病毒的主机,首先进行断网隔离,判断加密文件的重要性,决定是否格式化磁盘重装系统,还是保持断网状态等待进一步解密进展。
如果内网存在主机无法访问外部网络的情况,需要迅速在内网中添加DNS解析,将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某台内网中可以访问的主机上,确保内网主机可以访问该域名,阻断蠕虫的进一步传播。
病毒清除:
在被感染主机上,需要对蠕虫进行清除:
1. 关闭进程:
关闭tasksche.exe进程:不完全执行的状态下,还可能有mssecsvc.exe,即最初启动的那个进程,在后续完全执行的状态下,还可能有其他tor等的进程,建议在关闭进程的时候,将下面所列举的可执行文件涉及的相关进程都关闭掉。
2. 删除相关服务:
(1)删除服务mssecsvc2.0,服务路径:
C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security
(2)删除hnjrymny834(该服务名可能随机)服务:
查找对应的路径,在其路径名下删除可执行文件。
3. 清除注册表项:
在注册表中,删除以下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 "C:\ProgramData\hnjrymny834\tasksche.exe"
或者
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834
4. 删除病毒文件:
病毒运行后,释放的文件目录存在于
l C:\ProgramData\hnjrymny834
l C:\Users\All Users\hnjrymny834
