攻擊手段:
該病毒通過網(wǎng)絡掃描方式探測存在MS17-010漏洞的主機,并且安裝病毒樣本,請求www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名,然后遍歷整個磁盤,使用AES+RSA加密算法加密文件,加密文件后綴名更改為WANNACRY,然后上傳加密密鑰到黑客指定的網(wǎng)站,接下來客戶端彈出勒索信息,同時開啟對外掃描進程,繼續(xù)傳播。
本次漏洞可能的影響范圍:
個人用戶:Windows XP/Windows 7/Windows 8/Windows 10 (公有云用戶很少使用)
企業(yè)用戶:Windows 2000/Windows 2003 Windows Vista/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
應對建議:
金山云不對用戶進行非授權掃描探測,建議用戶登錄金山云平臺使用云安全產(chǎn)品檢測此漏洞和防御此次攻擊。
金山云安全產(chǎn)品防御解決方案:
?。?)建議用戶使用云主機的安全組功能,只開放業(yè)務端口。安全組默認規(guī)則是禁止所有端口通訊,如果VPC用戶業(yè)務端口對外開放的話,需要如下配置安全組:
備注:以業(yè)務端口為http、https、RDP協(xié)議為例。
?。?)建議安裝服務器安全Agent,通過補丁管理模塊打上MS17-010補丁。
第一步、安裝完成后,開啟系統(tǒng)補丁一項
第二步、檢測結(jié)果
備注:開啟了補丁功能后會自動升級系統(tǒng)補丁。