2024年1月18日发(作者:)

永恒之蓝应急防护解决方案

针对此次攻击数据运营中心于2017年5月13日(星期六)在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接。在内网核心主干交换路由设备禁止135/137/139/445端口的连接。并关闭了内外网VPN设备,禁止互联网和内部局域网之间的访问。

现发布通知,避免病毒在局域网内进行横向传播,请省公司各部门、各分公司重点留意邮件、移动存储介质等传播渠道,按以下方法做好重点检查防护工作。

1.1 影响范围

此次利用的SMB漏洞影响以下未自动更新的操作系统:

Windows XP、Windows 2000、Windows 2003

Windows Vista、Windows Server 2008、Windows Server 2008 R2

Windows 7、Windows 8、Windows 10

Windows Server 2012、Windows Server 2012 R2、Windows Server 2016

注:以下设备不受影响

安卓手机,iOS设备,MacOS设备,*nix设备、Win10 用户如果已经开启自动更新不受影响。

1.1.1 终端侧应急解决方案

注:请扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。

1) 利用本地防火墙阻挡防护

✓ Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

2、选择启动防火墙,并点击确定

3、点击高级设置

4、点击入站规则,新建规则

5、选择端口,下一步

6、特定本地端口,输入445,下一步

7、选择阻止连接,下一步

8、配置文件,全选,下一步

9、名称,可以任意输入,完成即可。

✓ XP系统的处理流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

2、点击开始,运行,输入cmd,确定执行下面三条命令

2) 手动下载安装补丁

补丁下载地址

win7 : /ms17-010/win7/

win8 : /ms17-010/win8/

请根据自己电脑的位数下载.

1.1.2 已经感染设备应急解决方案

 断开网络连接,组织进一步扩散。

 优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

 已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。