2017 年05 月16日

WannaCry加密勒索软件防范须知

企业

特洛伊加密勒索软件WannaCry以前所未有的感染规模席卷全球,影响波及无数家庭用户和企业。我们已经发布过文章介绍了WannaCry的一些基本知识,在本文中,我们将专门针对企业提供更多建议。了解什么是WannaCry,它以何种方式传播、会构成哪些危险以及如何予以防范尤为紧迫急切。

我该立即采取哪些行动?

这种木马之所以爆发得这么快,其中一个关键原因是它拥有自主传播的能力,能利用Windows的已知漏洞进行攻击,无需用户干预(错误)。一旦一台计算机被感染,该勒索软件就会设法自主传播到本地网络中的其他所有系统。

因此,首要采取的行动就是修复漏洞。系统管理员需要执行以下步骤:

  • 安装微软补丁。补丁不仅适用于Windows 10,也适用于早期版本:Windows 8、7、Vista,甚至包括Windows XP和Server 2003。此补丁可以修补勒索软件用于感染本地网络中系统的漏洞。
  • 如果出于任何原因,无法安装补丁,请使用防火墙关闭端口445。这将阻止这种蠕虫病毒进行网络攻击,从而防止感染。但是,从严格意义上来说,这一措施只是权宜之计。关闭此端口会导致一些重要的网络服务停止,因此并不真正的解决办法。
  • 确保网络中的所有系统都受到保护。这一点至关重要:如果没有对每个系统打补丁,也没有关闭445端口,那么一台被感染的计算机很可能会感染其他所有其他计算机。
  • 您还可以使用免费的卡巴斯基的”反勒索软件工具”,它能可靠地防御这种勒索软件。另外,”反勒索软件工具”还可以与其他反恶意软件解决方案一起使用;这种工具与大多数已知安全解决方案相兼容,不会干扰其运行。
  • 如果本地网络中已经有感染设备,请立即启动重要扫描。这项任务会自动启动,但是最好越早启动越好。理论上,这种勒索软件可能已经安装在系统中,但是还没有开始加密文件。
  • 如果在扫描期间检测到MEM:Trojan.Win64.EquationDrug.gen威胁,请将其删除并重新启动系统。
  • 如果网络中有嵌入式系统

    嵌入式系统尤其容易受到WannaCry的攻击,这主要是这种系统的防御程度较低的缘故。虽然ATM和POS系统通常会使用专门的解决方案进行保护,但往往会忽视信息终端等系统的防御工作。然而,要使这些系统在被攻击后恢复运行可能需要一大笔资金,尤其是如果你的公司运行的嵌入视系统有数百个的时候。

    我们强烈建议您使用采用默认白名单模式的解决方案。卡巴斯基嵌入式系统安全解决方案专为嵌入式系统而开发,是一种有效且高效利用资源的防御解决方案。