首页 > 代码库 > 针对勒索病毒WannaCrypt微软官方应对指南

针对勒索病毒WannaCrypt微软官方应对指南


如同其他大多数勒索软件一样,Ransom:Win32/WannaCrypt通过社会工程学尝试感染目标组织的环境,通常为带有恶意宏的Office文档附件的钓鱼邮件。一旦感染环境中的一台计算机后,该变种会尝试利用Microsoft在MS17-010补丁中修复的SMBv1的漏洞在内网中主动传播。这一蠕虫行为是真正让这一变种带来如此巨大影响的原因。

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx


微软于514日中午已经发布了针对此病毒的官方应对指南,本文为整合官方指南的简版。

由于格式问题,推荐下载本文的Word版或PDF版,以及微软官方应对指南PDF。


感染以后的症状

当系统被该勒索软件感染后,弹出勒索对话框:

技术分享


文档被加密,后缀名被更改为WNCRY(已经出现变异版本)。可被加密的文档类型 参考https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt


漏洞应对指南

首先,一旦计算机被感染文档被加密,由于无法获取加密所用私钥,从技术角度无法解密这些文档。唯一的恢复手段是通过已有的备份进行恢复。确保对关键文档数据进行有效备份是保护数据的最主要方式。


没有被感染,预防防御办法(非常重要)

(1) 首要任务确定您的反病毒软件更新到最新并可以查杀该勒索软件。Microsoft反病毒产品病毒库版本1.243.290.0及以上可以查杀当前发现的这一变种。如您使用其他反病毒软件,建议与相应厂商确认。

(2) 确保终端用户理解他们不应打开任何可疑的附件,即使他们看到一个熟悉的图标(PDFOffice文档)。

(3) 确保MS17-010补丁在所有计算机上安装,推荐安装最新的Microsoft安全补丁,并将其他第三方软件更新到最新。请参考下面的《安装微软官方修复补丁》。

(4) 使用正版Windows软件和正版Office软件,并启用Windows防火墙和Windows更新。请参考:

http://reinember.blog.51cto.com/2919431/1925408

(5) 445135等端口是Windows系统服务正常运行所需要的端口,正常情况下不能轻易关闭,关闭极有可能引起严重的次生故障。在安装微软官方修复补丁之后,无需关闭这些端口。


暂时无法安装补丁临时处理方法

由于特殊原因计算机无法断网以及安装补丁,此方法仅适用于Windows Vista以上版本的系统。以下变通办法在您遇到的情形中可能会有所帮助:

  • 禁用 SMBv1

对于运行 Windows Vista 及更高版本的客户

请参阅Microsoft 知识库文章 2696547

适用于运行 Windows 8.1 Windows Server 2012 R2 及更高版本的客户的替代方法

对于客户端操作系统:

  1. 打开"控制面板",单击"程序",然后单击"打开或关闭 Windows 功能"

  2. "Windows 功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持"复选框,然后单击"确定"以关闭此窗口。

  3. 重启系统。

对于服务器操作系统:

  1. 打开"服务器管理器",单击"管理"菜单,然后选择"删除角色和功能"

  2. "功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持复选框,然后单击确定以关闭此窗口。

  3. 重启系统。

如果已经被感染怎么办

A.    隔离已感染计算机,在工作域里脱域,拔掉网线,关闭受感染计算机。

B.     考虑通过Windows防火墙阻止445端口入站通讯,或禁用Server服务

注意:此操作将阻止所有的文件共享服务,可能给环境带来较大影响,如未发现已感染计算机不建议进行此项操作

C.      如果您的反病毒软件暂时无法查杀该变种,您可以使用Microsoft Safety Scanner https://www.microsoft.com/security/scanner/en-us/default.aspx对受感染计算机进行完全扫描 

D.     从备份中恢复文件

E.     同样实施以上防御措施

 

安装微软官方修复补丁

可以修复漏洞的安全更新(文件最小的)是哪些



操作系统知识库文章号码安装先决条件备注
Windows XPKB4012598Service Pack 2或者Service Pack 3


*Service Pack 2 没有中文版本更新
Windows 8KB4012598
Windows Server 2003 SP2KB4012598Service Pack 2
Windows Vista SP2/Server 2008 SP2KB4012598Service Pack 2
Windows 7 SP1/Windows Server 2008 R2 SP1KB4012212Service Pack 120173月的仅安全更新
Windows Server 2012KB401221420173月的仅安全更新
Windows 8.1/Windows Server 2012 R2KB4012213KB291935520173月的仅安全更新


*需要先安装KB3021910,然后才能安装KB2919355
Windows 10 RTMKB4012206累积安全更新
Windows 10 1511KB4013198累积安全更新
Windows 10 1607 | Server 2016KB4013429累积安全更新

 


必须满足“安装先决条件”才能安装更新。

 

·        对于Windows Server 2012 R2,需要先安装KB3021910,然后才能安装KB2919355

·        对于Windows 7 SP1/ Windows Server 2008 R2, 如果没有安装过任何更新,请先安装KB3125574(兼容性已知问题,请参考知识库文章https://support.microsoft.com/en-us/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2-sp1)。否则可能需要花费56小时索引系统,才能开始安装安全更新。

微软官方补丁下载


操作系统

下载链接(可使用浏览器,可用下载工具)

桌面操作系统

32Windows XP SP3

下载地址1

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

下载地址2:

http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe

下载地址3:

http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

64Windows XP SP2

下载地址1

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

32Windows Vista

下载地址1

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

64 Windows Vista

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

32Windows 7

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

64Windows 7

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

32 Windows 8

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

64 Windows 8

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

32Windows 8.1

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

64Windows 8.1

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

32Windows 10

版本1511

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x86_5e2b7bce2f1b116288b4f1f78449c66ecc7c7a53.msu

64 Windows 10

版本1511

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x64_c23b6f55caf1b9d6c14161b66fe9c9dfb4ad475c.msu

64Windows 10

版本1607 

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu

32Windows 10

版本1607

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x86_9bf106e898b57c20917cd98fd8b8d250333015a5.msu

32Windows 10

版本1703

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x86_5901409e58d1c6c9440e420d99c42b08f227356e.msu

64Windows 10

版本1703

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x64_27dfce9dbd92670711822de2f5f5ce0151551b7d.msu

32Windows 10

版本1705

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x86_259adeed4a4037f749afab211ff1bc6a771ff7f6.msu

64Windows 10

版本1705

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x64_4ed033d1c2af2daea1298d10da1fad15a482f726.msu

服务器操作系统

32 Windows Server 2003

下载地址1:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

下载地址2:

http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

下载地址3:

http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-cht_71a7359d308c8bda7638b4dc4ea305e7e22cc4c2.exe

64Windows Server 2003

下载地址1:

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

下载地址2:

http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

下载地址3:

http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe

32Windows Server 2008

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

64Windows Server 2008

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

安腾Windows Server 2008

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu

64Windows Server 2008 R2

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

安腾Windows Server 2008 R2

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu

64Windows Server 2012

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

64位Windows Server 2012  R2

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

64Windows Server 2016

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu

嵌入式操作系统

Windows XP SP3

嵌入式

下载地址1

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe

下载地址2

http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe

下载地址3

http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe

Windows XP 嵌入式WES09以及 POSReady 2009

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-enu_9515c11bc77e39695b83cb6f0e41119387580e30.exe

下载地址2

http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-chs_8789d2232a3d43c44d4d293dc37b4bc06c997e9b.exe

下载地址3

http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-cht_a827a40579d7de4c78efeca91d25ec0762e1c5be.exe

32Windows Embedded 7嵌入式标准版

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

64Windows Embedded 7嵌入式标准版

下载地址1

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

32Windows Embedded 8

嵌入式标准版

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu

64Windows Embedded 8嵌入式标准版

下载地址1

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu



微软官方技术团队Q&A

Q:安装时提示此更新不适用于您的计算机,怎么办?

A:请确认系统满足了先决条件再安装。例如WindowsServer 2008 R2, 必须在Service Pack 1 安装完成后,才能安装这次涉及到的安全更新。

 

Q:如何判断是否已经安装了正确的补丁?

A:首先重启系统。然后对于Vista SP2/Server2008 SP2开始的系统,可以使用PowerShell 命令Get-hotfix 来确认。

 

Q:即使安装了针对MS17-010的补丁还有可能中招,如果中招了是否可以杀毒,还是必须重装?此时系统还会传播勒索软件吗?

A:请参考“如果已经被感染了怎么办”这一部分。安装更新并不阻止系统发送恶意请求。此时环境中没有安装安全更新的系统将处于高危阶段。

Q:如果是2003的能够寻求微软的帮助吗?

AWindows Server 2003 Service Pack 2已经结束支持周期2年了。微软针对这次事件,特地破例发布2003 SP2的漏洞修复——安全更新。您无需拨打我们的服务热线,查阅微软官方补丁下载”部分。

 

QWannaCrypt是否会跨网段传播?

A:会

 

Q:如果Windows Server 2008 SP2安装重启后,安全更新被回退了,怎么办?

A:请联系Premier 热线服务电话,开启案例分析解决。

 

QSMB V1 (关闭445端口)如果停止了会有什么影响?

ASMB v1是从WindowsVista SP2/Windows Server 2008 SP2开始引入的。如果停止掉,Vista/Server 2008 之前的系统(XP/Server 2003)就无法访问共享。Computer Browser服务也会受到影响。如果系统上有较多应用依存于SMB v1的话,这些应用可能无法使用。

 

Q:感染了的话,付钱是否能解决问题,是否有其他隐患?

A:您的资产的价值需要您来评估,最终由您决定是否值得付钱解决,付钱并非一定能解决问题。

 

Q:如果要重新安装系统,只格式化C盘就可以了还是需要全盘格式化?

A:如果没有专业的事件分析,很难说是否需要所有磁盘格式化,在没有专家诊断之前建议全盘格式化处理。

 

Q:目前看到传播的速度多快?是否可能手工停止病毒进程来防范?

A:勒索软件一般采用非对称秘钥加密算法加密秘钥,然后用对称秘钥和这个秘钥来快速把文件进行加密。加密文件并不仅仅局限于文本类型文件。整个加密的过程本身是比较快的。往往在人们感知到时,已经非常晚了。我们微软的防病毒软件可以检测客户端上进程的行为,如果发现类似勒索软件的恶意行为,在没有准确病毒库下也会拦截。虽然拦截速度和快,还是有可能不幸您的部分重要文件已经被加密。

 

Q:针对SMB的漏洞我们有了更新修复。那么勒索软件利用的宏命令,未来会有修复吗?

A:应注意这个宏命令本身并不是一个漏洞。只是被别有用心的人利用。



本文出自 “Rein技术博客” 博客,请务必保留此出处http://reinember.blog.51cto.com/2919431/1925511

针对勒索病毒WannaCrypt微软官方应对指南