勒索病毒防护方案

本次网络攻击是一种复合型网络攻击，由勒索病毒WannaCry 、蠕虫病毒（永恒之蓝）、比特币（支付手段）共同组成。

“永恒之蓝”是指NSA（美国国家安全局）泄露的危险漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。
微软在今年 3 月发布了 MS17-010 安全更新，以下系统如果开启了自动更新或安装了对应的更新补丁，可以抵御该病毒。

预防分三步：
1、禁止445、135、137、138、139等端口，
2、打补丁，防止蠕虫病毒（永恒之蓝）
3、禁止勒索病毒WannaCry进程运行。

对于企业级客户，建议通过统一平台的管理系统进行预防病毒。
推荐产品IP-guard 内网安全管理软件。
解决方案：
一、阻断传播风险
1、控制台统一设置策略，关闭风险端口。
通过IP-guard网络控制模块禁止445、135、137、138、139等端口。
不需要手动去一台台修改终端电脑的防火墙。

2、终端安全检测：自动隔离没有安装补丁的终端，禁止不安全终端的网络访问。

二、补丁检查和分发
1、通过IP-guard控制台统一检查确认各个终端的补丁安装情况。
2、对于没有安装补丁的终端，统一进行下发和安装

三、禁止病毒进程运行
1、通过IP-guard“应用程序”的管理功能，禁止已知的病毒程序的进程运行。
病毒相关进程：木马母体为mssecsvc.exe 、敲诈者程序tasksche.exe、提权程序taskse.exe、敲诈者揭秘程序@[email protected]、清回收站Taskdl.exe

总结：
IP-guard 用户，可以通过以上“网络阻断–进程阻断–补丁修复”等组合方式，在企业整个内网范围内，统一快速的处置勒索病毒类似的安全突发事件，有效降低企业内网的安全风险。