【重要】勒索病毒预防措施

disagree 新人帖[复制链接]
发表于 : 2019-3-12 09:00:55 最新回复:2019-09-26 10:41:20
5720 10

【背景】

近期又出现一些局点因未实施勒索病毒补丁而中毒,业务受到影响,尤其是集中使用windows的桌面云场景。

为保障现网业务不受勒索病毒影响,尚未实施对应微软官方补丁的局点建议择机尽快实施。

【关键措施】

存储:9000/V3系列NAS功能,涉及135445,其余不涉及。N8000涉及137138139445

桌面云:基础架构虚拟机(如AD)务必实施勒索病毒补丁,强烈建议业务windows虚拟机实施勒索病毒补丁。

网络:目前确认需要封锁1351371394453389,如果没有公网访问桌面云的需求,在出口防火墙可以禁用。但在AD域控OS内部不可以禁用1351371394453389RDP登录端口,不使用可以关闭。用户虚拟机不涉及这些端口,可以禁用。

请各办事处/系统部再次将勒索病毒预防和应急方法同步到各渠道,提醒各局点做好自检排查,如未实施微软官方补丁的局点应当尽快实施。

【处理指导】

原文@华为企业互动社区,云计算

https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=401729

 

【勒索者】比特币勒索病毒影响桌面云的应急处理方法

本文档提供的操作方法适用的桌面云版本:FusionAccess V100R005C10/C20/C30; FusionAccess V100R006C00/C10/C20.

1    背景

Windows SMBv1远程代码执行漏洞MS17-010(CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0147CVE-2017-0148)导致比特币勒索病毒攻击,影响桌面云使用;

2    该病毒影响范围及处理策略

影响对象1:桌面云基础架构虚拟机(ADITA服务器(R5))

影响对象2:桌面云用户虚拟机(用户虚拟机, 应用虚拟化虚拟机)

处理策略:优先进行对桌面云基础架构虚拟机实施应急措施,然后处理用户虚拟机。

3    针对暂未受病毒影响的局点紧急实施补丁

3.1   将局点环境基础架构虚拟机备份数据离线隔离:

LoggetterR5)或BackupServerR6)服务器上将基础架构虚拟机备份数据拷贝到U盘或者其他离线存储介质。

3.2   桌面云基础架构虚拟机处理措施:

注意:针对ADITA服务器,只能通过升级微软官方补丁方式解决问题,不能关闭AD服务器的端口,或者开启虚拟机中防火墙,否则会导致桌面云业务不可用

 

处理方法:

  实施微软官方补丁

KB4012212补丁(适用于Windows Server 2008 R2 SP1

KB4012213补丁(适用于Windows Server 2012 R2 需要提前安装KB2919442后再安装KB2919355依赖包)

KB4012214(适用于Windows Server 2012

 

a)  下载补丁(Windows 2008R2 SP1/Windows 2012R2

获取路径一(微软官方网站):

Windows 2012 R2依赖包:

https://support.microsoft.com/en-us/help/2919442/march-2014-servicing-stack-update-for-windows-8.1-and-windows-server-2012-r2

https://support.microsoft.com/en-us/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014

Windows 2012 R2补丁包:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

获取路径二(华为企业云论坛-登录后查看):

http://support.huawei.com/huaweiconnect/enterprise/thread-401709-1-1.html

获取路径三(网盘):

http://*********.com/s/1cpMl34

b)  拷贝补丁至AD主备服务器及ITA主备服务器依次进行安装(安装过程中需要重启操作系统

c)  cmd命令行中执行命令“systeminfo |findstr KB编号”检查补丁实施结果

如:systeminfo |findstr 4012212

 

 

3.3   桌面云用户虚拟机处理方式:

注意:针对用户虚拟机,只能通过升级微软官方补丁方式解决问题。

对于不能及时实施补丁的局点可采取关闭SMBv1协议的方式临时缓解。

但对于未开启防火墙的用户虚拟机不能开启操作系统防火墙,否则可能会导致桌面云业务不可用

 

3.3.1  升级微软官方补丁方法一:通过微软WSUS补丁服务器推送补丁:

KB4012598(适用于Windows XP SP3

KB4012212(适用于Windows 7 SP1/ Windows Server 2008 R2 SP1

KB4012213(适用于Windows 8.1/ Windows Server 2012 R2 +依赖包KB2919442KB2919355

KB4012214(适用于Windows Server 2012

a)  确认局点已经部署WSUS服务器;

b)  确认WSUS补丁服务器已经同步微软补丁至2017315日以后;

c)  WSUS补丁服务器中筛选对应补丁进行审批并应用给特定操作系统的计算机;

d)  配置组策略“计算机配置>管理模板>Windows组件>Windows Update”中的补丁更新策略:

配置自动更新:已启用-自动下载并计划安装;

指定Intranet Microsoft更新服务位置:已启用-设置服务器地址为:http://补丁服务器ip:8530

允许自动更新立即安装:已启用;

e)  通过重启用户虚拟机触发补丁安装;

f)  在补丁服务器上统计补丁实施情况。

 

3.3.2  升级微软官方补丁方法二:手工实施

KB4012598(适用于Windows XP SP3

KB4012212(适用于Windows 7 SP1/ Windows Server 2008 R2 SP1

KB4012213(适用于Windows 8.1/ Windows Server 2012 R2Windows Server 2012 R2还需要依赖包KB2919442KB2919355补丁)

KB4012214(适用于Windows Server 2012

a)  下载获取补丁(Windows 7/ Windows Server 2008 R2/ Windows 8.1/ Windows Server 2012/ Windows Server 2012 R2

获取方式一(微软官方网站):

https://technet.microsoft.com/zh-cn/library/security/MS17-010

获取方式二(华为企业云论坛-登录后查看)-win7 32bit & win7 64bit

http://support.huawei.com/huaweiconnect/enterprise/thread-401701.html

获取路径三(网盘):

http://*********.com/s/1cpMl34

 

下载获取补丁(Windows XP-KB4012598

获取方式一(微软官方网站):

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

获取方式二(华为企业云论坛-登录后查看):http://support.huawei.com/huaweiconnect/enterprise/thread-401713-1-1.html

获取路径三(网盘):

http://*********.com/s/1cpMl34

 

b)  拷贝补丁至用户虚拟机或应用虚拟化虚拟机进行安装(安装过程中需要重启)

c)  cmd命令行中执行命令“systeminfo |findstr KB编号”检查补丁实施结果

如:systeminfo |findstr 4012212

 

 

3.3.3  处理方法三(临时缓解措施-适用于win7操作系统):

注意:此方法适用于无法及时推送补丁的临时缓解措施,最终还是需要通过实施补丁解决问题。

此方法实施后,将会影响Windows系统的文件共享服务,例如无法使用共享文件等,因此建议仅作为临时缓解措施。

 

通过组策略推送脚本禁用微软SMBv1协议。

a)  将以下脚本拷贝至AD域控服务器;

b)  添加应用于所有win7用户虚拟机的组策略;

c)  在编辑组策略的“计算机配置>Windows 设置>脚本(启动/关机)”中添加步骤a中的“DisableSMBv1.bat”脚本为启动脚本;

d)  在域控服务的命令行中执行“gpupdate /force”命令强制刷新组策略;

e)  重启虚拟机使组策略生效,禁用微软SMBv1协议的脚本执行;

 

4    针对已经受病毒影响的局点进行恢复

恢复过程建议将所有受影响虚拟机进行关机后,逐一恢复,防止二次感染。

4.1   将局点环境基础架构虚拟机备份数据离线隔离:

LoggetterR5)或BackupServerR6)服务器上将基础架构虚拟机备份数据拷贝到U盘或者其他离线存储介质。

4.2   针对基础架构虚拟机受影响后的恢复

如果确认未受影响,则按照前面章节描述升级补丁即可;否则执行如下操作:

4.2.1       针对ITA基础架构虚拟机的恢复

由于ITA基础架构虚拟机本身不存储数据,存储数据的节点是Linux虚拟机,因此恢复方法参见各版本解决方案文档操作与维护>系统管理>备份与恢复章节进行操作;

 

4.2.2       针对AD基础架构虚拟机的恢复

由于AD基础架构在日常运行过程中会通过备份服务器进行备份,因此可以使用备份参见各版本解决方案文档操作与维护>系统管理>备份与恢复章节进行操作。

4.3   针对用户虚拟机受影响后的恢复

如果确认未受影响,则按照前面章节描述升级补丁即可;否则执行如下操作:

a)      建议重新制作用户虚拟机模板;

b)      模板制作完成后,安装杀毒软件,并进行病毒查杀;

c)      更新所有的Windows操作系统补丁;

d)      开启Windows操作系统防火墙,按照桌面云端口矩阵配置端口例外;

e)      重新发放用户虚拟机。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
社区管理员咕噜噜
社区管理员咕噜噜  管理员 发表于 2019-3-12 13:45:57 已赞(0) 赞(0)

勒索病毒预防措施【重要】勒索病毒预防措施-2886579-1
  • x
  • 常规:

点评 回复

Come on!
user_2921761
user_2921761  新锐 发表于 2019-3-12 14:51:48 已赞(0) 赞(0)

顶贴顶贴~ 【重要】勒索病毒预防措施-2886627-1
  • x
  • 常规:

点评 回复

austdocs
austdocs   发表于 2019-4-10 17:36:45 已赞(0) 赞(0)

非常好的建议
  • x
  • 常规:

点评 回复

开开泰
开开泰   发表于 2019-6-2 23:26:59 已赞(0) 赞(0)

很好的总结
  • x
  • 常规:

点评 回复

menoy
menoy   发表于 2019-6-17 16:14:56 已赞(0) 赞(0)

目前虚拟机防护都是采用与第三方合作无代理杀毒方式。
  • x
  • 常规:

点评 回复

飞飞飞飞飞
飞飞飞飞飞  新锐 发表于 2019-8-6 09:48:10 已赞(0) 赞(0)

顶贴
  • x
  • 常规:

点评 回复

福建龙田网络科技有限公司
Yep
Yep   发表于 2019-8-15 17:41:56 已赞(0) 赞(0)

顶帖
  • x
  • 常规:

点评 回复

福建龙田网络科技
tyni
tyni   发表于 2019-8-23 09:47:52 已赞(0) 赞(0)

感谢分享
  • x
  • 常规:

点评 回复

福建龙田网络科技有限公司
user_3198197
user_3198197   发表于 2019-9-4 08:43:20 已赞(0) 赞(0)

【重要】勒索病毒预防措施-3052679-1
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录