勒索病毒:WannaCry企业管理员指南
本指南适用于希望降低遭受WannaCry(或其他类型勒索软件)勒索风险的企业管理员。
此页面已因内容过时而被撤回。您可以在 https://www.ncsc.gov.uk/ransomware/home 阅读有关勒索软件的最新信息
NCSC目前正与英国受WannaCry勒索软件影响的组织和合作伙伴合作。本页面包含针对企业管理员的指南,帮助他们降低遭受WannaCry(或其他类型勒索软件)勒索的可能性。
随着更多信息的获取,本指南将不断更新。 在NCSC的指南网站上还有更多关于保护企业IT的通用建议和指导。
什么是WannaCry?
WannaCry是一种被称为勒索软件的恶意软件。勒索软件会使您的数据或系统无法使用,直到受害者支付赎金。
如何保护我的组织?
在Windows系统上部署MS17-010补丁
如果您正在运行受支持的Windows版本,并按照NCSC的建议通过Windows Update自动应用补丁,那么您应该已经受到保护,免受此恶意软件的侵害。
如果未自动应用更新,此特定漏洞的补丁可以在 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 找到,或者通过当前支持的操作系统的Windows Update获取。
对于Windows XP、Server 2003和Windows 8等旧版平台,微软提供了带外补丁。此补丁无法通过Windows Update应用,在这种情况下必须专门安装。该补丁可从 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks 获取。
如果无法应用此补丁,请禁用SMBv1
由于SMBv1是恶意软件传播的媒介,如果组织内的特定系统受到影响,可以禁用它以防止进一步感染。Windows系统的指南可在 https://support.microsoft.com/en-us/help/2696547 找到。
如果上述方法不可行,可以在网络设备和工作站的主机防火墙上阻止SMBv1端口
这些端口是:
- UDP: 137和138
- TCP: 139和445
如果不可行,请尽可能在组织内隔离旧技术的使用
如果无法完全禁用SMBv1或应用必要的补丁,那么仍然易受MS17-010攻击的设备应在企业网络内尽可能隔离。关于网络隔离技术、最小化泄露机会的其他方法以及限制后续危害的方法,在NCSC的过时技术指南中有描述。
确保防病毒产品已更新
防病毒厂商越来越能够检测和修复此恶意软件,因此确保组织内使用的任何主机和边界防病毒产品都是最新的,可能会提供额外的保护。
更多信息
安全研究社区的工作阻止了许多潜在的入侵。要受益于此,请确保您的系统能够解析并连接到TCP端口80的以下域:
- www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
- www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
与大多数恶意软件感染不同,您不应阻止这些域。请注意,该恶意软件不支持代理感知,因此可能需要本地DNS记录。这不需要指向互联网,但可以解析到任何可访问的、接受TCP端口80连接的服务器。
随着WannaCry变体的出现,正在观察到其他域和替代的命令与控制机制。更多信息可以在网络安全信息共享伙伴关系(CiSP)平台上找到。
NCSC之前发布了关于保护组织免受勒索软件侵害的更广泛指南。 您还应考虑将Cyber Essentials标准和认证计划作为解决这些问题的一种方式。
如果您的组织已感染勒索软件该怎么办
如果您认为已感染勒索软件,有以下几种进一步建议和指导的来源:
- 国家犯罪调查局鼓励任何认为自己可能遭受在线欺诈的人通过 www.actionfraud.police.uk 联系Action Fraud。是否支付赎金由受害者决定,但NCA鼓励行业和公众不要支付。
- 国家网络安全中心(NCSC)运营一个名为"网络事件响应"的商业计划,经认证的公司向受影响的组织提供危机支持。
- 网络安全信息共享伙伴关系(CiSP)为英国的组织提供一个安全门户,用于讨论和共享有助于社区并提高英国网络恢复能力的情报。我们鼓励成员共享技术信息和入侵指标,以便新恶意软件(尤其是勒索软件)的影响可以大大降低。