攻击手段:
该病毒通过网络扫描方式探测存在MS17-010漏洞的主机,并且安装病毒样本,请求www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名,然后遍历整个磁盘,使用AES+RSA加密算法加密文件,加密文件后缀名更改为WANNACRY,然后上传加密密钥到黑客指定的网站,接下来客户端弹出勒索信息,同时开启对外扫描进程,继续传播。
本次漏洞可能的影响范围:
个人用户:Windows XP/Windows 7/Windows 8/Windows 10 (公有云用户很少使用)
企业用户:Windows 2000/Windows 2003 Windows Vista/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
应对建议:
金山云不对用户进行非授权扫描探测,建议用户登录金山云平台使用云安全产品检测此漏洞和防御此次攻击。
金山云安全产品防御解决方案:
(1)建议用户使用云主机的安全组功能,只开放业务端口。安全组默认规则是禁止所有端口通讯,如果VPC用户业务端口对外开放的话,需要如下配置安全组:
备注:以业务端口为http、https、RDP协议为例。
(2)建议安装服务器安全Agent,通过补丁管理模块打上MS17-010补丁。
第一步、安装完成后,开启系统补丁一项
第二步、检测结果
备注:开启了补丁功能后会自动升级系统补丁。