熱點解決方案

您當前位置:首頁 > 解決方案 > 熱點解決方案

勒索病毒全自動補丁方案

責任編輯:盈高科技    時間:2017-07-01    瀏覽次數:6855


日前,全球多個國家遭受新一輪名為“Petya”勒索病毒的攻擊,多國政府機構、銀行、運營商、機場和企業都受到了不同程度的影響。此次病毒與今年5月波及全球的“想哭”勒索病毒傳播方式有相似之處,但可能更危險、更難以控制。據報道,微軟公司稱,新病毒已至少在64個國家感染約12500臺電腦。最近,盈高科技發布了基于Petya勒索病毒的全自動補丁方案。

盈高ASM準入系統用戶方案

請各位向盈高科技工程師索取最新的Petya勒索軟件解決方案操作手冊并按照步驟進行實施。

本方案主要采用ASM特有的針對Petya勒索軟件的組合方案:禁用WMI服務+端口阻斷+補丁修復,且都需執行。另外請用戶加強電子郵件安全管理,不要輕易點擊不明附件,尤其是rtf、doc等格式的附件。

  •   禁用WMI服務:服務名稱為Winmgmt,使用ASM自帶的“系統服務”檢查功能,自動禁用該服務。注:如果此服務被終止,多數基于 Windows 的軟件將無法正常運行,且依賴它的服務將無法啟動。
  •   端口阻斷: 445、135、137、138、139(網絡中如有業務使用到這些端口,將會受到影響),使用ASM特有的任務自動下發功能,將阻斷腳本推送到終端。
  •   補丁安裝:需安裝MS17-010(5月份爆發勒索病毒對應補丁,如已安裝可忽略)、Office CVE-2017-0199相關補丁,通過ASM特有的“補丁檢查”和“軟件分發”自動將補丁下發到終端

 

WMI服務禁用

使用盈高ASM設備安全規范中“系統服務檢查”安檢項,添加服務名稱Winmgmt,并開啟自動禁用服務策略:

 

 

端口阻斷

盈高科技專門針對Petya勒索軟件開發的端口自動阻斷腳本,文件下載鏈接:https://pan.baidu.com/s/1gfKgDH5,可使用盈高ASM準入系統的“軟件分發”功能進行自動下發執行,

 

后續如需要開啟已阻斷的端口,請運行另一個程序腳本

 

MS17-010補丁自動化安裝

方案1:盈高ASM準入系統支持操作系統補丁自動下載修復

請各位用戶確保ASM設備補丁庫已升級到2017-06-20,補丁下載鏈接

http://pan.baidu.com/s/1hr58TTE,然后使用ASM特有的全自動補丁分發功能進行全網補丁下發。

 

方案2:使用ASM自帶的軟件下發安裝功能

盈高科技提供必需的補丁文件供用戶使用,下載鏈接:http://pan.baidu.com/s/1o8M7UFg,包含8個文件,2個腳本/程序(RepairConfig.txt、S17-010_Repair.exe),6個補丁文件(包含xp sp3、win7sp1、win8),如需對win8系統補丁下發,請一并上傳到ASM準入系統,并通過軟件自動分發功能予以全網實施:

 

 

 

注:盈高科技在測試中發現,win8系統相關的補丁可能存在無法安裝的情況,建議參照微軟的勒索軟件RansomWin32WannaCrypt防范及修復指南查看。

注:win8.1和win10用戶的補丁安裝步驟較為復雜,請聯系盈高科技工程師索取詳細自動化部署手冊予以協助安裝。

 

Office CVE-2017-0199自動化安裝

補丁下載鏈接:https://pan.baidu.com/s/1i5kkKwH,鏈接中包含7個文件,2個是腳本程序(RepairConfig_office.txt、Office CVE-2017-0199.exe),5個office文件,請用戶下載到本地后使用ASM的自動化軟件分發任務進行實施。

 

 

未部署ASM用戶安全建議

步驟1:

先不讓電腦接入到網絡,禁用有/無線網卡

步驟2:

對重要文件做離線備份。

步驟3:

禁用MSI服務,同時針對勒索軟件利用的端口進行阻斷,使用未感染的U盤,拷貝盈高科技提供的禁用端口腳本文件到終端上,以管理員身份運行。終端會彈出以下窗口,執行完畢后,窗口

 

步驟4:

使用微軟發布的操作系統補丁修復,將對應補丁拷貝到U盤,在電腦上安裝。

各操作系統對應補丁參見下文中所提供的補丁下載鏈接。

 

附錄-補丁下載鏈接和勒索軟件修復指南

 

1) 針對“勒索軟件”,所有相關補丁參見:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

 

2) win8.1下載鏈接地址為:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213

對應文件:

3) win8下載鏈接地址為:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

對應文件:

4) Win10 系統微軟下載鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

對應文件:

Office CVE-2017-0199相關補丁來源:

總鏈接地址:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

 

Microsoft office 2007 sp3

介紹鏈接:

https://support.microsoft.com/en-us/help/3141529/description-of-the-security-update-for-2007-microsoft-office-suite-apr

 

32位程序補丁下載鏈接:

https://download.microsoft.com/download/3/F/1/3F1B4B80-E418-400A-AA32-7E0589D36164/mso2007-kb3141529-fullfile-x86-glb.exe

 

Microsoft office 2010 sp2

介紹鏈接:

https://support.microsoft.com/zh-cn/help/3141538/description-of-the-security-update-for-office-2010-april-11-2017

 

32位程序補丁下載鏈接:

https://download.microsoft.com/download/E/7/3/E735DF93-4C05-48B9-B1C2-BC5479AFD99C/mso2010-kb3141538-fullfile-x86-glb.exe

 

64位程序補丁下載鏈接

https://download.microsoft.com/download/1/E/E/1EEE461A-0E96-4C02-9456-F1F68C3F55E2/mso2010-kb3141538-fullfile-x64-glb.exe

 

Microsoft office 2013 sp1

介紹鏈接:

https://support.microsoft.com/zh-cn/help/3178710/description-of-the-security-update-for-office-2013-april-11-2017

 

32位補丁下載鏈接:

https://download.microsoft.com/download/0/4/1/0415ACEF-CA43-45F9-ACE7-2CF0790C2F28/mso2013-kb3178710-fullfile-x86-glb.exe

 

64位補丁下載鏈接:

https://download.microsoft.com/download/B/6/B/B6B21AF9-CAC1-44B3-9F77-4F9500C16CFF/mso2013-kb3178710-fullfile-x64-glb.exe

 

Microsoft office 2016

介紹鏈接:

https://support.microsoft.com/zh-cn/help/3178703/description-of-the-security-update-for-office-2016-april-11-2017

 

32位程序補丁下載鏈接:

https://download.microsoft.com/download/6/F/0/6F01E2DC-7508-4D02-B107-75C41922DE01/msodll302016-kb3178703-fullfile-x86-glb.exe

 

64位程序補丁下載鏈接:

https://download.microsoft.com/download/4/B/1/4B11285C-53EC-4C98-947E-76F50E906270/msodll302016-kb3178703-fullfile-x64-glb.exe

 

后續處理

盈高科技將持續關注該事件,如有更新,我們會第一時間發布。

 




版權所有@2006-2020 杭州盈高科技有限公司 移動應用集成 移動安全辦公浙ICP備10035577號|公安機關備案號33010602004863
旺彩福彩3d下载安装