文档介绍：







。伴随病毒大规模爆发，企业、个人计算机使用者开始重新重视并下载该补丁。微软面向全部操作系统均配备了对应版本的补丁，该方式能完全防御该病毒。〔3〕通过讨论病毒样本的发作机理及规律，防病毒工程师们发觉该病毒存在一个类似后门的灭活开关，因为在感染后到启动服务之间存在一个触发规律为，推断终端能否访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea ，如不能访问该域名则服务启动，继而开始攻击。因此工程师可以在内部局域网中建立一个域名，搭建内部解析服务〔Dnsserver〕建议映射关系，将该域名地址解析到局域网webserver中一个合法的ip地址，使得内部局域网用户可以访问该域名，即可实现对病毒的免疫。〔4〕在攻击规律中，加密器启动后病毒程序会推断染毒终端中是否已经有一个加密器程序存在，防止病毒程序重复运行相互产生干扰。因此，工程师们通过创建一个名为mswinZonescachecountermutexA的互斥体，通过误导病毒程序，就可以使病毒运行之后自动退出，无法完成后续攻击步骤，部分杀毒软件即使用了该方法。在实际状况中，工作环境为内部局域网，一旦病毒在内网爆发，不管是文件共享机制下染毒文件极易传播亦或是因工作需要导致防火墙访问掌握的限制较少，都对病毒传播提供了便利条件。在获取舆情及了解到该病毒的威逼后，信息化部门马上制定应急响应方案，并于24小时内完成了以下工作：〔1〕各部门的终端访问掌握设置为仅能访问登录认证服务器〔基于linux〕用于开机登录。〔2〕通过联系各部门的信息化负责人，讲授如何关闭tcp445端口并实施。〔3〕下载补丁，依据服务器、计算机的操作系统版本进行铺设及安装。在确保内部局域网安全后，开放了访问掌握，并在后续工作中，团队自互联网获取有关该病毒的更为全面的介绍及分析，主动与国内知名防病毒厂商的工程师进行沟通获得关心，并准时对各服务器、计算机的杀毒软件的病毒库进行了针对勒索病毒的更新。










　　5内部局域网病毒的防范与应对
　　震网病毒及wannacry勒索病毒分别代表了两种内部局域网中病毒爆发的途径：据置信度较高的报道称，震网病毒是欧美间谍进入伊朗核电站，经由介质〔u盘〕直接连接内网终端将病毒导入，自内部发作；而wannacry病毒经由互联网传播，病毒攻击规律使得每个被感染终端均成为新的攻击发起者，向若干随机ip发送数据包，并最终侵入防范措施不得当的内部局域网。这两种入侵途径互为补充及衍生，即介质自内感染后病毒通过文件的导出会影响到互联网；介质中病毒也存在随文件自外网导入内网的可能。从病毒的防范角度出发，需要做到：〔1〕严格掌握文件的中转导入，设置多重病毒查杀过程。〔2〕可通过物理封堵或软件管控禁止内部局域网中的服务器、计算机能够直接读写介质。〔3〕加强计算机使用者的防病毒意识，在高危病毒发作期间削减不必要的文件传递，一旦出现感染状况应当马上报备信息化责任部门进行处理，条件允许则马上作脱网处理。〔4〕提高使用者防范计算机病毒的意识。从病毒的应对角度开展应急工作，需要做到：〔1〕“化整为零〞，将内部局域网以设备为个体进行拆分，除特别状况外避开设备之间存在通信可能。〔2〕完成内部局域网设备加固前，不建议进行文件的中转导入。〔3〕通过讨论病毒的发作机理及攻击规律，制定有效的防范措施。〔4〕对疑似或已经染毒的设备马上进行物理隔离，并调查该设备近期文件传递状况，将与之产生过通信的设备进行排查。如能定位染毒文件则追溯染毒文件来源并跟进处理。〔5〕与防病毒厂商主动沟通，获取解决方法及病毒库的准时升级。依靠严格的管控机制及物理隔离，使内部局域网工作环境中的设备不暴露于互联网环境下；通过运用有效的防病毒软件对网络定期进行检查及隐患消除；建立完善的应急响应预案，于突发状况中快速反应，保障网络安全。可使得内部局域网在应对各类计算机病毒的威逼中成为更安全、更可靠、更值得信任的工作环境。