“永恒之蓝”勒索病毒国内爆发 最全解决方案在此
2017年5 月12 日晚上20 时左右，全球爆发大规模蠕虫勒索软件感染事件，仅仅几个小时内，该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招，且攻击仍在蔓延。
据报道，勒索攻击导致16家英国医院业务瘫痪，西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织，11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪，包括校园一卡通系统。
该勒索病毒名为“永恒之蓝”，伪装为Windows系统文件，用户一旦感染，电脑中大多数文件类型均会被加密，然后向用户勒索价值300或600美金的比特币。该病毒影响所有Windows操作系统。
目前，瑞星所有产品均可对该病毒进行拦截，请将瑞星所有产品更新至最新版。同时，瑞星推出该病毒免疫工具“瑞星永恒之蓝免疫工具”，用户可下载防御病毒。
下载地址：
瑞星“永恒之蓝”免疫工具
http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
瑞星“永恒之蓝”免疫工具+杀软
http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe
内网用户免疫病毒方法：
WanaCrypt的主程序启动时，首先会访问
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果可以访问，则会停止工作。
目前该域名已经被注册，在互联网环境下，WanaCrypt应该已经不再起效。对于无法连接互联网的用户，可以在本地网络环境中增加该域名的解析，起到抑WanaCrypt活性的作用。或者在本机修改host文件，让该域名指向任意有效HTTP服务，都可以起到“免疫”的效果。无法连接互联网的用户需要自己手工修改指向一个内部可访问的HTTP服务，防毒墙可以在拦截到这个HTTP请求时返回成功信息。
瑞星所有产品解决方案
一、瑞星终端安全产品解决方案
瑞星杀毒软件网络版查杀截图：
瑞星安全云查杀截图：
1、更新微软MS17-010漏洞补丁，对应不同系统的补丁号对照表：
ESM版: 2.0.1.29
10网络版：22.04.63.50
11网络版：23.00.11.85
12网络版：24.00.12.60
13网络版：25.00.03.35
以上版本带的漏洞扫描功能已经可以支持以上补丁。
2、ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则（XP或非XP系统都可以）
使用行为审计\IP规则策略，设置端口规则
l 启用端口规则，根据需要考虑是否勾选“阻止访问时通知用户”
l 从右边增加一条新端口规则，勾选离线生效
l 选择“单个端口”，并设置端口号为445
l 协议选择TCP，方向选择入站
l 注意“允许联网”不要勾选，表示拒绝访问
3、网络版产品设置防火墙规则
l 通过控制，给组设置防火墙组规则，右键组，出操作菜单，设置防火墙规则
特别注意“常规”里一定要选择“禁止”，协议里协议类型选TCP，对方端口选任意端口，本地端口选指定端口，并填445
4、使用公安专版或只有杀毒模块的用户
瑞星杀毒软件会进行病毒库紧急升级，用来查杀相应的病毒。
因为公安专版、单杀毒模块产品上就即不带漏洞补丁修复，又不带防火墙功能，所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。
5、没有防火墙功能的用户，可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block
netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445
netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139
也可以将上述命令保存为.bat批处理文件，管理员权限直接运行,制作.bat批处理文件方法：
n 新建一个文本文件
n 把上述命令拷贝到文件里，并保存
n 重命名.txt后缀改为.bat
二、瑞星云安全产品解决方案
（一）关闭系统445文件共享端口
1、安装了瑞星虚拟化系统安全软件最新版windows安全防护终端的用户可以在 “网络防护”功能中增加新的“IP规则”以关闭445端口，防止黑客通过445端口共享入侵感染系统。具体步骤如下：
开启windows安全防护终端的“网络防护”功能
在“IP规则”中增加禁用共享445端口的规则设置
亦可通过瑞星虚拟化系统安全软件管理中心进行规则设置
通过系统管理中心的终端管理对终端规则进行设置
设置终端的“IP规则”
增加禁用共享445端口的规则设置
注:此设置方法也可应用于策略模板生成，生成的模板可以批量应用于环境内的所有终端。
2、使用了瑞星虚拟化系统安全软件华为无代理防火墙的用户，亦可通过增加防火墙规则，关闭445共享端口，实现无代理网络安全防护。设置方法如下：
增加无代理防火墙禁用共享445端口的规则
3、如果没有使用瑞星虚拟化系统安全软件的网络防护功能，也可采用以下临时解决方案暂时缓解安全问题:
A.打开“Windows防火墙”，在“高级设置”的入站规则里禁用“文件和打印机共享”相关规则。
B.或通过在终端上执行命令关闭445端口共享，命令如下：
netsh firewall
set opmode enable
netsh advfirewall
firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=block
通过管理员权限直接运行即可。
（二）针对SMB远程代码执行漏洞进行补丁修补
1、通过修补Microsoft 安全公告 MS17-010 - 严重安全漏洞补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010，解决黑客利用SMB的远程代码执行漏洞感染计算机的问题。
对应操作系统漏洞补丁编号如下：
2、如果担心补丁稳定性问题，亦可通过如下步骤临时缓解部分系统问题：
通过运行终端命令关闭SMB
适用于运行Windows XP的客户解决方法
net stop rdr
net stop srv
net stop netbt
适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法
对于客户端操作系统：
1、打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。
2、在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。
3、重启系统。
对于服务器操作系统：
1、打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。
2、在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。
3、重启系统。
受此临时缓解方法的影响。目标系统上将禁用 SMBv1 协议。
有很多用户无法第一时间获取各类补丁，或者由于重要业务无法中断，无法安装补丁，还有很多用户不愿关闭自身的445端口文件共享以及SMB，同时又不希望自己被Wannacry影响环境内的安全，如果用户已经部署了瑞星虚拟化系统安全软件，那么可以通过开启入侵防御规则，有效解决此次Wannacry安全威胁，同时不影响当前环境的稳定性。
用户可以在安全防护终端本地开启IPS规则。
或者在瑞星虚拟化系统安全软件管理中心为需要保护的系统开启IPS防护规则
当然如果用户的数据中心使用的是瑞星虚拟化系统安全软件的无代理网络防护功能，我们亦可为用户提供无代理网络防护内的IPS防护功能，通过瑞星虚拟化系统安全软件管理中心为云环境内的虚拟机设置无代理IPS规则，解决数据中心内部的微分段网络内的安全风险。
（三）将防病毒软件病毒库更新至最新版本解决系统内的Wannacry勒索病毒。
对于已经部署瑞星虚拟化系统安全软件子产品的用户，可以将安全防护产品更新至2.0.0.40版本（病毒库版本：29.）以上，即可解决本地存在的Wannacry勒索病毒。
用户亦可在更新至最新版本后通知数据中心或管理中心内全部环境上的子产品进行全盘查杀，已解决当前环境内的全部Wannacry安全威胁。
勒索病毒已经存在很久，并且已经成为最具威胁的恶意代码，由于黑客通过勒索软件可以获取大量的利益，因此，勒索软件的变种速度也极快，给各大安全厂商带来很多的麻烦，此次勒索软件使用的445共享端口，SMB远程执行漏洞，都是已知的安全缺陷或是安全漏洞，并且微软也已经发布了相应的安全补丁，所以提升安全防护意识，才是解决安全风险的第一要素。
三、瑞星网关安全产品解决方案
（一）瑞星导线式防毒墙防护方法
瑞星导线式防毒墙查杀截图：
登录导线式防毒墙WEB管理界面，进入【系统管理】à【安全加固】菜单，选择"系统补丁升级"页面，使用瑞星官网最新发布的系统补丁对导线式防毒墙进行系统升级，如图所示：
登录导线式防毒墙WEB管理界面，进入【系统管理】à【安全加固】菜单，选择"病毒库升级"，使用瑞星官网最新发布的病毒库升级包，对导线式防毒墙进行病毒库的升级，最新版本的病毒库中已经加入了对勒索病毒各种变种病毒文件的检测，完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播，如图所示：
打开导线式防毒墙的【配置管理】à【高级配置】菜单，选择"查毒策略"配置页面，对导线式防毒墙的查毒策略进行配置，启用蠕虫病毒检测功能和免疫勒索病毒的处理，启用后，导线式防毒墙将阻断拦截蠕虫病毒和所有经过防毒墙 TCP 445端口的出站、入站请求，如下图所示：
（二）瑞星UTM2.0防毒墙防护方法
瑞星UTM防毒墙查杀截图：
登录瑞星UTM2.0防毒墙WEB管理界面，进入【系统管理】à【系统维护】菜单，选择"软件升级"标签页，使用瑞星官网最新发布的病毒库升级包，对UTM2.0防毒墙进行病毒威胁库的升级，最新版本的病毒威胁库中已经加入了对勒索病毒各种变种病毒文件的检测，完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播，如图所示:
打开【防火墙】à【安全策略配置】菜单，选择"安全策略配置"标签页，在安全策略中点击"增加"添加一条安全策略，如图所示：
在新增的安全策略配置窗口中，选择服务内容配置项，在下拉菜单最下方选择【增加】，如下图所示：
新增一个服务对象，服务对象的配置如下图所示：
点击"确定"后，安全策略中服务内容将会增加一个勒索病毒防护的服务对象，如下图所示，选择新增的服务对象并点击"确定"完成防火墙安全策略的加。
返回"安全策略配置"页面，勾选新增加的安全策略，点击"启用"按钮完成安全策略的启用，如下图所示，启用成功后，新增安全策略的状态变为
（三）瑞星下一代防毒墙防护方法
瑞星下一代防毒墙查杀截图：
登录瑞星下一代防毒墙WEB管理界面，进入【系统管理】à【软件升级】菜单，使用瑞星官网最新发布的病毒库升级包，对下一代防毒墙进行病毒威胁库的升级，最新版本的病毒威胁库中已经加入了对勒索病毒各种变种病毒文件的检测，完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播，如图所示:
打开【策略配置】à【安全策略】菜单，点击屏幕下方的"新增"按钮，增加一条新的安全策略，如下图所示，在常规配置标签中，在服务内容下拉菜单最下方点击"添加"增加一条服务对象。
配置指定的协议和端口，如下图所示，点击"确定"完成服务对象的增加。
完成增加后在服务对象中选择新增的这条服务对象，如下图所示：
切换到"其他配置"标签页，将安全策略的处理动作设置为“拒绝”，如下图所示。
配置完成后，点击“确定”完成策略的增加。
返回安全策略列表，勾选新增的安全策略，点击下方的"启用"按钮，完成策略的启用，如下图所示，启用成功后，安全策略状态会变为
（四）瑞星网络安全预警系统全面监控
瑞星网络安全预警系统监控截图：
瑞星网络安全预警系统用户只需升级到最新版本，即可全面监控“永恒之蓝”勒索病毒的全网传播及感染情况。
四、临时解决方案及建议
Win7、Win 8.1、Win 10用户，尽快安装微软MS17-010的官方补丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
Windows XP用户，点击开始-》运行-》输入cmd，确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。
net stop rdr
net stop srv
net stop netbt
3、 升级操作系统的处理方式：建议广大用户使用自动更新升级到Windows的最新版本。
4、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。
5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
6、及时升级操作系统到最新版本；
7、勤做重要文件非本地备份；
8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点当前位置 & &
& 别以为结束了！“想哭”勒索蠕虫越发嚣张
别以为结束了！“想哭”勒索蠕虫越发嚣张
20:40:06&&出处：&&作者：实习小苏
编辑：上方文Q &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
文章价值打分
当前文章打分0 分，共有0人打分
[05-27][05-27][05-27][05-26][05-26][05-26][05-25][05-25][05-24][05-23]
登录驱动之家
没有帐号？
用合作网站帐户直接登录永恒之蓝变种已来 你的主动防御能力升级了吗 -- 飞象网
永恒之蓝变种已来 你的主动防御能力升级了吗
北京&(商业电讯)－－&5月15日消息，据人民网、国际在线等媒体消息。国家网络与信息安全信息通报中心最新通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒（又称永恒之蓝）出现了变种：WannaCry 2.0。与之前版本的不同是，这个变种取消了Kill Switch，取消这一功能会造成什么后果呢？
WannaCry 勒索病毒通过扫描电脑上的TCP 445端口，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。而升级版WannaCry 2.0与之前版本不同。WannaCry勒索病毒此前发作的时候会向某个域名发出请求，如果该域名存在就会退出，不存在则继续攻击，变种2号的样本中修改了某一跳转指令，直接取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶意操作。也就是说，变种2号不存在所谓的“秘密开关”，一旦放出传播，连勒索者自己都控制不住蠕虫病毒的传播，因此传播速度可能会更快。
也就是说永恒之蓝的变种相比于永恒之蓝，具有两点不同：危害范围更广，传播速度更快。而且网上已有相关信息指出，永恒之蓝变种可能威胁安卓和IOS系统，如果事实如此，那么手机将会面临威胁，成为下一个重灾区。至于何时会爆发更高级的变种，甚至造成怎样的危害，难以预估。
在这里除了提醒广大网民尽快升级安装Windows系统相关补丁外，再给大家提供另外一种参考处置方案，这套处置方案也是RS-CDPS客户本次面临永恒之蓝勒索病毒的解决方案。值得一提的是在永恒之蓝勒索病毒肆虐的四天内，优炫操作系统安全增强系统（RS-CDPS）的用户未出现病毒感染。
针对Wannacry蠕虫病毒以及其变种，优炫软件给出双层安全防护解决方案。边界可以使用优炫下一代防火墙进行高危端口封堵，内部使用RS-CDPS产品进行服务器操作系统安全加固，拒绝不明来源的程序非法执行。从内而外，提供双层防护，可完美解决此次‘勒索病毒’威胁。
&&&&UX-NGF边界防护针对Wannacry蠕虫病毒进行高危封堵
部署了优炫下一代防火墙的客户，可基于规则阻断445、135、3389等高危端口，从网络边界直接封堵病毒传播通道，保护内网安全。
以445端口为例，登录防火墙，在对象配置―服务中新建服务：源端口输入1:65535，目的端口445，点击确认。
在防火墙规则WAN-LAN中，找到上一步新添加的规则‘445端口禁用’，点击后面移动选项，将规则移动至最上方。
注：（1）照此方法，可以在WAN-DMZ、DMZ-LAN、LAN-DMZ中分别添加拒绝规则，确保网内不同区域间通信安全。
（2）用户可根据实际情况用同样方法对135、137、139、3389进行关闭。
&RS-CDPS针对Wannacry蠕虫病毒进行核心层面防护
优炫操作系统安全增强系统（RS-CDPS）的白名单功能可防止不明来源的程序非法执行；防火墙功能可以基于IP五元组控制来自内网访问，防止服务器被内网其他主机感染；禁用CMD和注册表功能，防止远程执行非法命令，保护核心系统组件。
利用RS-CDPS的主机防火墙功能，基于IP五元组建立访问控制策略，禁止远程访问Windows的137、139、445、3389等端口，封杀漏洞利用的端口。
利用RS-CDPS的系统控制功能，禁止非法用户对Windows系统的DOS命令行、注册表的访问行为，防止远程执行非法命令、保护关键组件。
针对永恒之蓝以及其变种，优炫软件给出的双层安全防护解决方案，适用于各种永恒之蓝乃至其升级后的各种变种，还不赶快安装RS-CDPS？
编 辑：王洪艳
我那时最多是从一个甩手掌柜，变成了一个文化教员。业界老说..
CCTIME推荐
CCTIME飞象网
CopyRight &
By CCTIME.COM
京ICP备号&& 京公网安备号
公司名称： 北京飞象互动文化传媒有限公司
未经书面许可，禁止转载、摘编、复制、镜像蓝盾NSA免疫加固工具(一键关闭445端口) V1.0 绿色版
蓝盾端口关闭工具
蓝盾NSA免疫加固工具是专门针对NSA制作的端口关闭工具，它可以一键关闭445、135、136、137、138、139等端口，关闭后最近的蠕虫勒索病毒就不用利用NSA当中永恒之蓝等其他漏洞来侵害你的电脑了，非常适合不会关闭端口的用户使用。
蓝盾NSA免疫加固工具使用方法
1、下载并解压文件，双击运行；
2、软件运行后会自动检测防火墙和端口的状态；
3、点击【一键加固】，就可以开启防火墙和关闭端口。
怎样手动关闭端口
1、通过控制面板，打开防火墙；
2、点击左侧高级设置；
3、点击左侧入站规则；
4、点击新建规则；
5、选择端口，点击【下一步】；
6、进入以后选择&特定本地端口&，在输入框内输入&135,137,138,139,445&注意中间用逗号隔开，输入完成以后点击&下一步&进入；
7、点击进入以后选择&阻止连接&点击【下一步】；
8、点击【下一步】；
9、在名称一栏输入&关闭端口&，点击&完成&即可。
蓝盾NSA免疫加固工具(一键关闭445端口) V1.0 绿色版
高速下载器通道
其他下载地址
下载不了？|