2023年12月22日发(作者:)

系统管理员培训教材(20190626)

一、 “WannaCry病毒”危害及预防方法

1 病毒概述

WannaCry,一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自灰鸽子和熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少150个国家、30万用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

“勒索病毒”通过操作系统的漏洞,取得计算机的控制权,植入它们掌握密钥的加密程序,对结构化和非结构化的数据文件进行加密。由于加密程序使用的密钥位数长达2048位,这已经超出了人类所掌握的计算极限,如果加密成功逆向解密基本属于不可能。

2 病毒的传播途径

目前WannaCry的传播路径仍是个谜团,互联网安全厂商无法确切还原。但就目前所得到的消息,WannaCry病毒可以分为蠕虫部分和勒索病毒两部分,前者用于传播和释放病毒,后者用于攻击用户加密文件。

蠕虫病毒是一种常见的计算机病毒,主要通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA)泄漏的WindowsSMB远程漏洞利用工具“永恒之蓝”来时行传播。攻击者利用该漏洞,向用户机器的445端口(文件共享端口)发送精心设计的网络数据报文,实现远程代码执行。在一般的局域网内,为了传输数据的方便,并没有禁止445等危险端口。因此本次病毒在局域网内得到大规模传播,另外部分用户的操作系统并没有更新最新安全补丁,在一定程度上增大了风险。

目前所知,该病毒只攻击windows系统的电脑,几乎所有的windows系统如果没有打补丁,都会被攻击。Windows Vista、Windows

XP、Windows 7、Windows 8.1、Windows Server 2019、Windows Server

2019 R2、Windows Server 2019、Windows Server 2019 R2、Windows

Server 2019 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染。

3 预防方法

对于分公司的内网用户必须参考**公司应急处置小组的要求采用:封端口(445)、打补丁(MS17-010)、装天擎(360)和升级病毒库四个步骤来应对。

1) 打开10.117.8.49网站,下载“445端口阻断工具”并运行。注意修改计算机的DNS,将其指向到10.33.32.18/19两个地址。

2) 在10.117.8.49网站上下载与本地计算机版本相同的MS17-010补丁并运行。没有补丁的系统,必须重装系统后,再按要求打补丁。

3) 在联网的情况下,可以下载“锦西**三合一客户端安装包”运行(VRV要求实名注册);若在断网情况下,可以在联网的机器上把“360天擎离线引擎”和“360天擎离线升级包”下载下来,拷到断网机器上运行。

4) 安装和升级成功后,向信息管理部申请联网。没有进行VRV注册的用户再到8.49网站上下载“VRV安装包”和“中**工具箱安装包”分别安装。至此,桌面终端计算机对“WannaCry病毒”的预防工作结束。

二、 MS17-010补丁常见问题

1 系统版本不对

目前,分公司局域网内桌面终端大部分安装了windows XP 和windows 7两种版本的操作系统。但这只是操作系统的大版本,经过几年的升级和演变,这两款系统可以分化为多个次生版本。比较常见的是windows xp sp2、windows xp sp3、windows 7(32/64位)和windows

7 sp1(32/64位)。从10.117.8.49网站上下载的MS17-010补丁安装具

有前提条件。Windows xp必须为windows xp sp3,windows 7必须为sp1版本才可以正常安装。(10.117.8.49网站提供这两种版本的单独升级包)

2 克隆版本缺少组件

在实际预防病毒的过程中,也发现有这样的情况,就是系统版本均满足补丁安装的前提条件,但补丁仍然无法正确安装。造成这种故障的主要原因是系统缺少组件,即在系统安装的过程由于各种原因,一些不很重要的组件缺失了(如果是重要组件,系统可能就不能正常运行了),这往往出现在克隆安装的版本上。建议各位尽量使用由信息管理部早前派发的系统安装光盘(一套五张)对系统进行完全安装,然后在进行预防病毒操作,这样做成功率比较大些。

如果不想重装系统,还有一种比较偷懒的办法(但不一定保证成功率)。就是不要管系统原来的版本是多少,直接使用windows xp sp3或windows 7 sp1补丁集把系统缺失的补丁重新安装一遍。如果系统缺少的仅仅是补丁组件,那么安装完成后MS17-010补丁一般就可以运行了。但系统缺少的是功能组件(特别是某些精简版本系统)这种办法就不见得能有效了。

3 可以安装360天擎,但离线升级包安装不正常

目前,10.117.8.49网站的所有工具,除一部分是**公司给外,有很大一部分是自己做的,比如360离线引擎等。由于制作时间比较紧,这部分工具并没做充分的测试,只在能涵盖主流的机型上进行安装,所以在实际工作中暴露出各种问题也不是什么特别奇怪的事情。针对可以安装360天擎离线引擎,但不能安装离线升级包的情况,经过研究可以给出一种解决方案,即安装完360离线引擎后,在10.117.8.49网站上下载“WannaCry专杀工具”解压后,对该计算机全盘杀毒,然后联网点击天擎图标,唤出界面后立即联网升级。一般在网络流量不繁忙的情况下几分钟内可以升级成功。

三、 **公司桌面准入的相关要求

**公司2019年12月份完成了桌面安全系统2.0的升级测试工作,并以区域中心为单位要求各地区公司于2019年5月份之前完成安装部署。由于5月份“WannaCry病毒”的爆发,**公司要求加快这一进程,6月份前桌面安全2.0的安装覆盖率达到100%。这是一项任重而道远的工作,也需要在座的各位全力配合。

1 桌面安全2.0三部分缺一不可

1) VRV实名注册。这部分功能并非只有实名注册这么简易,它涵盖了操作系统的补丁分发、高端漏洞的修补和中**局域网准入等功能。如前文所述,8.49网站上有单独的安装包也有三合一的安装包,注意这个没有离线安装包,安装VRV必须在联网状态下。

2) 360天擎杀毒。这部分主要功能即查杀病毒,它采用了比较先进“云查杀”模式,在占用系统资源比较少的情况下,完成查杀任务。它还提供系统优化及垃圾清理等比较有用的功能。随着时间的推移,还将会推出更多功能。

3) 中**工具箱。这个包含了系统加固、基线检查等“信息安全检查”的必备项。对于一些涉密的高端用户,它还提供了文件加密及文件粉碎等保密措施,确保用户的信息安全。

2 全新电脑桌面安全2.0的安装流程

简单点说,就是:

1) 专杀先扫毒

2) 封堵445端口

3) 调整DNS指向

4) 安装“三合一”客户端