热点解决方案
您当前位置:首页 > 解决方案 > 热点解决方案

勒索病毒全自动补丁方案

责任编辑:盈高科技    时间:2017-07-01    浏览次数:16236


日前,全球多个国家遭受新一轮名为“Petya”勒索病毒的攻击,多国政府机构、银行、运营商、机场和企业都受到了不同程度的影响。此次病毒与今年5月波及全球的“想哭”勒索病毒传播方式有相似之处,但可能更危险、更难以控制。据报道,微软公司称,新病毒已至少在64个国家感染约12500台电脑。最近,盈高科技发布了基于Petya勒索病毒的全自动补丁方案

盈高ASM准入系统用户方案

请各位向盈高科技工程师索取最新的Petya勒索软件解决方案操作手册并按照步骤进行实施。

本方案主要采用ASM特有的针对Petya勒索软件的组合方案:禁用WMI服务+端口阻断+补丁修复,且都需执行。另外请用户加强电子邮件安全管理,不要轻易点击不明附件,尤其是rtf、doc等格式的附件。

  •   禁用WMI服务:服务名称为Winmgmt,使用ASM自带的“系统服务”检查功能,自动禁用该服务。注:如果此服务被终止,多数基于 Windows 的软件将无法正常运行,且依赖它的服务将无法启动。
  •   端口阻断: 445、135、137、138、139(网络中如有业务使用到这些端口,将会受到影响),使用ASM特有的任务自动下发功能,将阻断脚本推送到终端。
  •   补丁安装:需安装MS17-010(5月份爆发勒索病毒对应补丁,如已安装可忽略)、Office CVE-2017-0199相关补丁,通过ASM特有的“补丁检查”和“软件分发”自动将补丁下发到终端

 

WMI服务禁用

使用盈高ASM设备安全规范中“系统服务检查”安检项,添加服务名称Winmgmt,并开启自动禁用服务策略:

 

 

端口阻断

盈高科技专门针对Petya勒索软件开发的端口自动阻断脚本,文件下载链接:https://pan.baidu.com/s/1gfKgDH5,可使用盈高ASM准入系统的“软件分发”功能进行自动下发执行

 

后续如需要开启已阻断的端口,请运行另一个程序脚本

 

MS17-010补丁自动化安装

方案1:盈高ASM准入系统支持操作系统补丁自动下载修复

请各位用户确保ASM设备补丁库已升级到2017-06-20,补丁下载链接

http://pan.baidu.com/s/1hr58TTE,然后使用ASM特有的全自动补丁分发功能进行全网补丁下发。

 

方案2:使用ASM自带的软件下发安装功能

盈高科技提供必需的补丁文件供用户使用,下载链接:http://pan.baidu.com/s/1o8M7UFg,包含8个文件,2个脚本/程序(RepairConfig.txt、S17-010_Repair.exe),6个补丁文件(包含xp sp3、win7sp1、win8),如需对win8系统补丁下发,请一并上传到ASM准入系统,并通过软件自动分发功能予以全网实施:

 

 

 

注:盈高科技在测试中发现,win8系统相关的补丁可能存在无法安装的情况,建议参照微软的勒索软件RansomWin32WannaCrypt防范及修复指南查看。

注:win8.1和win10用户的补丁安装步骤较为复杂,请联系盈高科技工程师索取详细自动化部署手册予以协助安装。

 

Office CVE-2017-0199自动化安装

补丁下载链接:https://pan.baidu.com/s/1i5kkKwH,链接中包含7个文件,2个是脚本程序(RepairConfig_office.txt、Office CVE-2017-0199.exe),5个office文件,请用户下载到本地后使用ASM的自动化软件分发任务进行实施。

 

 

未部署ASM用户安全建议

步骤1:

先不让电脑接入到网络,禁用有/无线网卡

步骤2:

对重要文件做离线备份。

步骤3:

禁用MSI服务,同时针对勒索软件利用的端口进行阻断,使用未感染的U盘,拷贝盈高科技提供的禁用端口脚本文件到终端上,以管理员身份运行。终端会弹出以下窗口,执行完毕后,窗口

 

步骤4:

使用微软发布的操作系统补丁修复,将对应补丁拷贝到U盘,在电脑上安装。

各操作系统对应补丁参见下文中所提供的补丁下载链接。

 

附录-补丁下载链接和勒索软件修复指南

 

1) 针对“勒索软件”,所有相关补丁参见:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

 

2) win8.1下载链接地址为:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213

对应文件:

3) win8下载链接地址为:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

对应文件:

4) Win10 系统微软下载链接:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

对应文件:

Office CVE-2017-0199相关补丁来源:

总链接地址:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

 

Microsoft office 2007 sp3

介绍链接:

https://support.microsoft.com/en-us/help/3141529/description-of-the-security-update-for-2007-microsoft-office-suite-apr

 

32位程序补丁下载链接:

https://download.microsoft.com/download/3/F/1/3F1B4B80-E418-400A-AA32-7E0589D36164/mso2007-kb3141529-fullfile-x86-glb.exe

 

Microsoft office 2010 sp2

介绍链接:

https://support.microsoft.com/zh-cn/help/3141538/description-of-the-security-update-for-office-2010-april-11-2017

 

32位程序补丁下载链接:

https://download.microsoft.com/download/E/7/3/E735DF93-4C05-48B9-B1C2-BC5479AFD99C/mso2010-kb3141538-fullfile-x86-glb.exe

 

64位程序补丁下载链接

https://download.microsoft.com/download/1/E/E/1EEE461A-0E96-4C02-9456-F1F68C3F55E2/mso2010-kb3141538-fullfile-x64-glb.exe

 

Microsoft office 2013 sp1

介绍链接:

https://support.microsoft.com/zh-cn/help/3178710/description-of-the-security-update-for-office-2013-april-11-2017

 

32位补丁下载链接:

https://download.microsoft.com/download/0/4/1/0415ACEF-CA43-45F9-ACE7-2CF0790C2F28/mso2013-kb3178710-fullfile-x86-glb.exe

 

64位补丁下载链接:

https://download.microsoft.com/download/B/6/B/B6B21AF9-CAC1-44B3-9F77-4F9500C16CFF/mso2013-kb3178710-fullfile-x64-glb.exe

 

Microsoft office 2016

介绍链接:

https://support.microsoft.com/zh-cn/help/3178703/description-of-the-security-update-for-office-2016-april-11-2017

 

32位程序补丁下载链接:

https://download.microsoft.com/download/6/F/0/6F01E2DC-7508-4D02-B107-75C41922DE01/msodll302016-kb3178703-fullfile-x86-glb.exe

 

64位程序补丁下载链接:

https://download.microsoft.com/download/4/B/1/4B11285C-53EC-4C98-947E-76F50E906270/msodll302016-kb3178703-fullfile-x64-glb.exe

 

后续处理

盈高科技将持续关注该事件,如有更新,我们会第一时间发布。