360防火墙产品针对“永恒之蓝”勒索蠕虫的防护方案

描述

近期国内内多处高校网络出现ONION/Wncry勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网并没有此限制，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前此蠕虫在教育网内大量传播，大概量级是每天5000个用户中招。

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，通过更新IPS特征库、应用识别特征库已经完成了蠕虫变种的防护，建议用户尽快将IPS特征库升级至“20170513”版本，应用识别特征库升级至“20170513”版本。此外，由于该攻击已开始在教育网内泛滥，不排除高校部分开放445端口的主机已被攻击，新一代智慧防火墙基于“智慧发现”、“智慧调查”特性可高效检测、统计产生此类攻击的终端IP，协助用户快速定位已失陷主机以便于及时在终端系统进行处置操作。

WanaCry!勒索软件除了通过MS17-010的SMBv1传播,还会通过曾经被安装过NSA DoublePulsar后门的渠道进行传播,这样,即使打了ms17-010补丁,但是在打补丁前曾经被EternalBlue攻击并成功安装过DoublePulsar后门的机器,也可能被该勒索软件感染.南北侧防护

南北侧防护▲通过IPS特征阻断

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，通过更新IPS特征库已经完成了蠕虫变种的防护，建议用户尽快将IPS特征库升级至“20170513”版本。

▲通过应用识别特征阻断

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，通过更新应用识别特征库已经完成了蠕虫变种的识别，建议用户尽快将应用识别特征库升级至“20170513”版本。

▲禁用445服务1. 智慧防火墙方案（NSG3000/5000/7000/9000系列产品）方式一：一键处置

(1)登录防火墙管理界面，进入处理中心->人工处置，点击添加。

(2)添加处置策略

(3)确认处置策略添加成功

方式二：安全策略

(1)登录防火墙管理界面，进入对象配置->服务->自定义服务，点击添加。

(2)添加自定义服务

(3)确认自定义服务

点击策略管理->安全策略，点击添加。

（4）点击策略管理->安全策略，点击添加。

（5）安全策略添加

（6） 安全策略调序

（7）确认安全策略添加成功，并且添加的记录已经调序到第一个。

2. 极速防火墙方案▲安全策略（1）登录防火墙管理界面，进入对象配置->服务->自定义服务，点击添加。

（2）添加自定义服务

（3）确认自定义服务

（4）点击策略管理->安全策略，点击添加。

（5）安全策略添加

(6)安全策略调序

(7)确认安全策略添加成功，并且添加的记录已经调序到第一个。

东西侧防护

针对东西侧已经部署防火墙的网络，可以通过IPS、应用识别以及禁用445服务的手段进行处理，详细处理方案参见南北侧防护方案。

已感染设备处理

如果已经有感染的设备，为了防止内部扩散，可以通过智慧防火墙进行快速网络隔离，把已感染设备从网络中隔离开。操作截图如下。

• 登录防火墙管理界面，进入处理中心->人工处置，点击添加。
  
  

2. 添加处置策略

3.确认设备已经隔离成功

来源 360企业安全