如同其他大多数勒索软件一样,Ransom:Win32/WannaCrypt通过社会工程学尝试感染目标组织的环境,通常为带有恶意宏的Office文档附件的钓鱼邮件。一旦感染环境中的一台计算机后,该变种会尝试利用Microsoft在MS17-010补丁中修复的SMBv1的漏洞在内网中主动传播。这一蠕虫行为是真正让这一变种带来如此巨大影响的原因。
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
微软于5月14日中午已经发布了针对此病毒的官方应对指南,本文为整合官方指南的简版。
由于格式问题,推荐下载本文的Word版或PDF版,以及微软官方应对指南PDF。
感染以后的症状
当系统被该勒索软件感染后,弹出勒索对话框:
文档被加密,后缀名被更改为WNCRY(已经出现变异版本)。可被加密的文档类型 参考https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
漏洞应对指南
首先,一旦计算机被感染文档被加密,由于无法获取加密所用私钥,从技术角度无法解密这些文档。唯一的恢复手段是通过已有的备份进行恢复。确保对关键文档数据进行有效备份是保护数据的最主要方式。
没有被感染,预防防御办法(非常重要)
(1) 首要任务确定您的反病毒软件更新到最新并可以查杀该勒索软件。Microsoft反病毒产品病毒库版本1.243.290.0及以上可以查杀当前发现的这一变种。如您使用其他反病毒软件,建议与相应厂商确认。
(2) 确保终端用户理解他们不应打开任何可疑的附件,即使他们看到一个熟悉的图标(PDF或Office文档)。
(3) 确保MS17-010补丁在所有计算机上安装,推荐安装最新的Microsoft安全补丁,并将其他第三方软件更新到最新。请参考下面的《安装微软官方修复补丁》。
(4) 使用正版Windows软件和正版Office软件,并启用Windows防火墙和Windows更新。请参考:
http://reinember.blog.51cto.com/2919431/1925408
(5) 445,135等端口是Windows系统服务正常运行所需要的端口,正常情况下不能轻易关闭,关闭极有可能引起严重的次生故障。在安装微软官方修复补丁之后,无需关闭这些端口。
暂时无法安装补丁临时处理方法
由于特殊原因计算机无法断网以及安装补丁,此方法仅适用于Windows Vista以上版本的系统。以下变通办法在您遇到的情形中可能会有所帮助:
禁用 SMBv1
对于运行 Windows Vista 及更高版本的客户
请参阅Microsoft 知识库文章 2696547
适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法
对于客户端操作系统:
打开"控制面板",单击"程序",然后单击"打开或关闭 Windows 功能"。
在"Windows 功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持"复选框,然后单击"确定"以关闭此窗口。
重启系统。
对于服务器操作系统:
打开"服务器管理器",单击"管理"菜单,然后选择"删除角色和功能"。
在"功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
如果已经被感染怎么办
A. 隔离已感染计算机,在工作域里脱域,拔掉网线,关闭受感染计算机。
B. 考虑通过Windows防火墙阻止445端口入站通讯,或禁用Server服务
注意:此操作将阻止所有的文件共享服务,可能给环境带来较大影响,如未发现已感染计算机不建议进行此项操作
C. 如果您的反病毒软件暂时无法查杀该变种,您可以使用Microsoft Safety Scanner https://www.microsoft.com/security/scanner/en-us/default.aspx对受感染计算机进行完全扫描
D. 从备份中恢复文件
E. 同样实施以上防御措施
安装微软官方修复补丁
可以修复漏洞的安全更新(文件最小的)是哪些
| 操作系统 | 知识库文章号码 | 安装先决条件 | 备注 |
| Windows XP | KB4012598 | Service Pack 2或者Service Pack 3 | |
| *Service Pack 2 没有中文版本更新 | |||
| Windows 8 | KB4012598 | 无 | |
| Windows Server 2003 SP2 | KB4012598 | Service Pack 2 | |
| Windows Vista SP2/Server 2008 SP2 | KB4012598 | Service Pack 2 | |
| Windows 7 SP1/Windows Server 2008 R2 SP1 | KB4012212 | Service Pack 1 | 2017年3月的仅安全更新 |
| Windows Server 2012 | KB4012214 | 无 | 2017年3月的仅安全更新 |
| Windows 8.1/Windows Server 2012 R2 | KB4012213 | KB2919355 | 2017年3月的仅安全更新 |
| *需要先安装KB3021910,然后才能安装KB2919355 | |||
| Windows 10 RTM | KB4012206 | 无 | 累积安全更新 |
| Windows 10 1511 | KB4013198 | 无 | 累积安全更新 |
| Windows 10 1607 | Server 2016 | KB4013429 | 无 | 累积安全更新 |
必须满足“安装先决条件”才能安装更新。
· 对于Windows Server 2012 R2,需要先安装KB3021910,然后才能安装KB2919355
· 对于Windows 7 SP1/ Windows Server 2008 R2, 如果没有安装过任何更新,请先安装KB3125574(兼容性已知问题,请参考知识库文章https://support.microsoft.com/en-us/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2-sp1)。否则可能需要花费5到6小时索引系统,才能开始安装安全更新。
微软官方补丁下载
操作系统 |
下载链接(可使用浏览器,可用下载工具) |
桌面操作系统 |
|
32位Windows XP SP3 |
下载地址1: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe 下载地址2: http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe 下载地址3: http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe |
64位Windows XP SP2 |
下载地址1: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe |
32位Windows Vista |
下载地址1: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe |
64位 Windows Vista |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu |
32位Windows 7 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu |
64位Windows 7 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu |
32位 Windows 8 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu |
64位 Windows 8 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu |
32位Windows 8.1 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu |
64位Windows 8.1 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu |
32位Windows 10 版本1511 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x86_5e2b7bce2f1b116288b4f1f78449c66ecc7c7a53.msu |
64位 Windows 10 版本1511 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x64_c23b6f55caf1b9d6c14161b66fe9c9dfb4ad475c.msu |
64位Windows 10 版本1607 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu |
32位Windows 10 版本1607 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x86_9bf106e898b57c20917cd98fd8b8d250333015a5.msu |
32位Windows 10 版本1703 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x86_5901409e58d1c6c9440e420d99c42b08f227356e.msu |
64位Windows 10 版本1703 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x64_27dfce9dbd92670711822de2f5f5ce0151551b7d.msu |
32位Windows 10 版本1705 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x86_259adeed4a4037f749afab211ff1bc6a771ff7f6.msu |
64位Windows 10 版本1705 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x64_4ed033d1c2af2daea1298d10da1fad15a482f726.msu |
服务器操作系统 |
|
32位 Windows Server 2003 |
下载地址1: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe 下载地址2: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe 下载地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-cht_71a7359d308c8bda7638b4dc4ea305e7e22cc4c2.exe |
64位Windows Server 2003 |
下载地址1: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe 下载地址2: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe 下载地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe |
32位Windows Server 2008 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu |
64位Windows Server 2008 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu |
安腾Windows Server 2008 |
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu |
64位Windows Server 2008 R2 |
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu |
安腾Windows Server 2008 R2 |
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu |
64位Windows Server 2012 |
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu |
64位Windows Server 2012 R2 |
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu |
64位Windows Server 2016 |
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu |
嵌入式操作系统 |
|
Windows XP SP3 嵌入式 |
下载地址1: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe 下载地址2: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe 下载地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe |
Windows XP 嵌入式WES09以及 POSReady 2009 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-enu_9515c11bc77e39695b83cb6f0e41119387580e30.exe 下载地址2: http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-chs_8789d2232a3d43c44d4d293dc37b4bc06c997e9b.exe 下载地址3: http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-cht_a827a40579d7de4c78efeca91d25ec0762e1c5be.exe |
32位Windows Embedded 7嵌入式标准版 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu |
64位Windows Embedded 7嵌入式标准版 |
下载地址1: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu |
32位Windows Embedded 8 嵌入式标准版 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu |
64位Windows Embedded 8嵌入式标准版 |
下载地址1: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu |
微软官方技术团队Q&A
Q:安装时提示此更新不适用于您的计算机,怎么办?
A:请确认系统满足了先决条件再安装。例如WindowsServer 2008 R2, 必须在Service Pack 1 安装完成后,才能安装这次涉及到的安全更新。
Q:如何判断是否已经安装了正确的补丁?
A:首先重启系统。然后对于Vista SP2/Server2008 SP2开始的系统,可以使用PowerShell 命令Get-hotfix 来确认。
Q:即使安装了针对MS17-010的补丁还有可能中招,如果中招了是否可以杀毒,还是必须重装?此时系统还会传播勒索软件吗?
A:请参考“如果已经被感染了怎么办”这一部分。安装更新并不阻止系统发送恶意请求。此时环境中没有安装安全更新的系统将处于高危阶段。
Q:如果是2003的能够寻求微软的帮助吗?
A:Windows Server 2003 Service Pack 2已经结束支持周期2年了。微软针对这次事件,特地破例发布2003 SP2的漏洞修复——安全更新。您无需拨打我们的服务热线,查阅“微软官方补丁下载”部分。
Q:WannaCrypt是否会跨网段传播?
A:会
Q:如果Windows Server 2008 SP2安装重启后,安全更新被回退了,怎么办?
A:请联系Premier 热线服务电话,开启案例分析解决。
Q:SMB V1 (关闭445端口)如果停止了会有什么影响?
A:SMB v1是从WindowsVista SP2/Windows Server 2008 SP2开始引入的。如果停止掉,Vista/Server 2008 之前的系统(XP/Server 2003)就无法访问共享。Computer Browser服务也会受到影响。如果系统上有较多应用依存于SMB v1的话,这些应用可能无法使用。
Q:感染了的话,付钱是否能解决问题,是否有其他隐患?
A:您的资产的价值需要您来评估,最终由您决定是否值得付钱解决,付钱并非一定能解决问题。
Q:如果要重新安装系统,只格式化C盘就可以了还是需要全盘格式化?
A:如果没有专业的事件分析,很难说是否需要所有磁盘格式化,在没有专家诊断之前建议全盘格式化处理。
Q:目前看到传播的速度多快?是否可能手工停止病毒进程来防范?
A:勒索软件一般采用非对称秘钥加密算法加密秘钥,然后用对称秘钥和这个秘钥来快速把文件进行加密。加密文件并不仅仅局限于文本类型文件。整个加密的过程本身是比较快的。往往在人们感知到时,已经非常晚了。我们微软的防病毒软件可以检测客户端上进程的行为,如果发现类似勒索软件的恶意行为,在没有准确病毒库下也会拦截。虽然拦截速度和快,还是有可能不幸您的部分重要文件已经被加密。
Q:针对SMB的漏洞我们有了更新修复。那么勒索软件利用的宏命令,未来会有修复吗?
A:应注意这个宏命令本身并不是一个漏洞。只是被别有用心的人利用。