5月15日消息,据人民网、国际在线等媒体消息。国家网络与信息安全信息通报中心最新通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒(又称永恒之蓝)出现了变种:WannaCry 2.0。与之前版本的不同是,这个变种取消了Kill Switch,取消这一功能会造成什么后果呢?
WannaCry 勒索病毒通过扫描电脑上的TCP 445端口,以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。而升级版WannaCry 2.0与之前版本不同。WannaCry勒索病毒此前发作的时候会向某个域名发出请求,如果该域名存在就会退出,不存在则继续攻击,变种2号的样本中修改了某一跳转指令,直接取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。也就是说,变种2号不存在所谓的“秘密开关”,一旦放出传播,连勒索者自己都控制不住蠕虫病毒的传播,因此传播速度可能会更快。
也就是说永恒之蓝的变种相比于永恒之蓝,具有两点不同:危害范围更广,传播速度更快。而且网上已有相关信息指出,永恒之蓝变种可能威胁安卓和IOS系统,如果事实如此,那么手机将会面临威胁,成为下一个重灾区。至于何时会爆发更高级的变种,甚至造成怎样的危害,难以预估。
在这里除了提醒广大网民尽快升级安装Windows系统相关补丁外,再给大家提供另外一种参考处置方案,这套处置方案也是RS-CDPS客户本次面临永恒之蓝勒索病毒的解决方案。值得一提的是在永恒之蓝勒索病毒肆虐的四天内,优炫操作系统安全增强系统(RS-CDPS)的用户未出现病毒感染。
针对Wannacry蠕虫病毒以及其变种,优炫软件给出双层安全防护解决方案。边界可以使用优炫下一代防火墙进行高危端口封堵,内部使用RS-CDPS产品进行服务器操作系统安全加固,拒绝不明来源的程序非法执行。从内而外,提供双层防护,可完美解决此次‘勒索病毒’威胁。
UX-NGF边界防护针对Wannacry蠕虫病毒进行高危封堵
部署了优炫下一代防火墙的客户,可基于规则阻断445、135、3389等高危端口,从网络边界直接封堵病毒传播通道,保护内网安全。
以445端口为例,登录防火墙,在对象配置—服务中新建服务:源端口输入1:65535,目的端口445,点击确认。
在防火墙—规则中新建规则:区域选择WAN-LAN,子网/主机默认选择AnyIP地址,服务选择上一步中新建的445端口,动作选择丢弃或拒绝,点击下方确认。
在防火墙规则WAN-LAN中,找到上一步新添加的规则‘445端口禁用’,点击后面移动选项,将规则移动至最上方。
注:(1)照此方法,可以在WAN-DMZ、DMZ-LAN、LAN-DMZ中分别添加拒绝规则,确保网内不同区域间通信安全。
(2)用户可根据实际情况用同样方法对135、137、139、3389进行关闭。
RS-CDPS针对Wannacry蠕虫病毒进行核心层面防护
优炫操作系统安全增强系统(RS-CDPS)的白名单功能可防止不明来源的程序非法执行;防火墙功能可以基于IP五元组控制来自内网访问,防止服务器被内网其他主机感染;禁用CMD和注册表功能,防止远程执行非法命令,保护核心系统组件。
利用RS-CDPS的主机防火墙功能,基于IP五元组建立访问控制策略,禁止远程访问Windows的137、139、445、3389等端口,封杀漏洞利用的端口。
利用RS-CDPS的进程白名单功能,禁止未经安全认证的程序执行,即使上传病毒、木马也无法执行。
利用RS-CDPS的系统控制功能,禁止非法用户对Windows系统的DOS命令行、注册表的访问行为,防止远程执行非法命令、保护关键组件。
针对永恒之蓝以及其变种,优炫软件给出的双层安全防护解决方案,适用于各种永恒之蓝乃至其升级后的各种变种,还不赶快安装RS-CDPS?