绿盟科技技术博客

WannaCry勒索蠕虫下的工控安全预警

2017-05-15冯冲NIPS, WannaCry勒索蠕虫, 威胁分析系统TAC, 工业安全隔离装置, 工业控制系统安全, 工业网络安全应急纪实, 工控安全预警, 绿盟科技, 绿盟科技官方通告

2017年5月12日，20:31，绿盟科技某分支技术经理接到某大型企业用户一阵急促的电话，“快！救急！生产网疑似遭到网络攻击！！”。本地应急小组火速就位该企业生产调度中心。

【安全报告】WannaCry变种样本初步分析报告

2017-05-15李丹2 变种样本与源样本分析对比, WannaCry变种样本, WannaCry变种样本分析报告, WannaCry样本, 安全报告, 绿盟科技

5月14日，卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本，此变种没有包含域名开关，同时修改了样本执行过程中的某个跳转，取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶意操作。我们对此次的变种事件高度关注，以最快速度拿到样本并进行了分析。

【安全报告】WannaCry勒索事件处置手册

2017-05-14曹嘉“WannaCry”勒索事件处置手册, WannaCry勒索事件, Windows主机感染, windows服务器, 企业安全管理, 勒索事件, 安全报告, 绿盟科技, 风险检测

“WannaCry”勒索事件自爆发以来，造成了大量Windows主机感染，本文档用于指导企业安全管理人员可以在第一时间对可能发生的病毒爆发进行充分准备，引导企业通过正确的流程和手段进行危害抑制和损失控制。

不惜一切代价迎战Wannacry

2017-05-14张, 凯NIPS NIDS NF RSAS, NTI绿盟威胁情报中心, WannaCry勒索病毒监测, WannaCry勒索软件, 勒索软件防护方案, 绿盟科技, 绿盟科技应急指挥中心, 迎战Wannacry

5月13日凌晨，面临来势汹汹的WannaCry勒索软件威胁，绿盟科技应急指挥中心启动了最高级别应急响应，成立应急响应团队，从各产品线、各地工程服务及一线销售抽调精英力量，应对突如其来的攻击，一场应急响应的战斗打响！

WannaCry勒索病毒肆虐，打补丁又需要时间，怎么办？

2017-05-14李菲NSFOCUS BVS, RSAS v6, WannaCry勒索病毒, 绿盟BVS v6, 绿盟安全配置核查系统, 绿盟科技

众所周知，业务系统维护是一件复杂活，打补丁、装软件都需要很小心，很有可能会出现各种未知状况，往往验证多次后再小心进行，而面对本次WannaCry勒索病毒的肆虐传播，时间不等人！因此，绿盟科技推出了“配置核查与一键加固结合”的方案，在绿盟安全配置核查系统（简称NSFOCUS BVS）上，除了帮助企业检查所管辖IT系统是否有被传播病毒的配置缺陷（潜在风险）外，还能提供一键加固方案，为打补丁争取到宝贵的时间窗口。

开启DNS Client Service日志

2017-05-14scz64-bits Win7, Administrator权限, DNS, DNS Client Service, svchost

假设当前OS是64-bits Win7。至少从2002.11.21开始，有些文章提到DNS Client Service自带一种日志。

“永恒之蓝”勒索软件来势汹汹绿盟科技叫你如何做好应急防护

2017-05-14庞南互联网基础安全, 勒索软件, 合规及安全管理, 应急防护, 绿盟科技, 网络及终端安全

北京时间2017年5月12日20时左后，全球爆发大规模勒索软件感染事件，99个国家近万台电脑收到该勒索软件攻击。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家均已中招，且攻击仍在蔓延。

wannaCry(想哭)蠕虫病毒查杀及善后应急方案

2017-05-14李利红NSFOCUS, wannaCry蠕虫病毒查杀及善后应急方案, 数据恢复, 样本查杀, 样本测试, 绿盟科技, 虚拟机调试, 蠕虫病毒查杀

拿到wannaCry蠕虫病毒，其原理的分析，这里再不重复，可以参考freebuf发的逆向分析报告http://www.freebuf.com/articles/system/134578.html这里就不再重复测试。

绿盟科技终端安全检查方案降低wannacry勒索危害

2017-05-14王猛wannacry勒索, 事前防范, 勒索软件, 绿盟NF防火墙, 绿盟威胁分析系统（TAC）协同联动, 绿盟科技, 绿盟科技终端安全检查方案, 绿盟远程远程安全评估系统（RSAS）

北京时间5月12日晚间，全球爆发了一系列勒索软件（Wannacry）的感染事件。国内大量企业遭到感染，多个高校的教育网受到感染，导致系统瘫痪。中招的终端会自动扫描开放445端口的windows终端，利用漏洞（该漏洞微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598。

【安全报告】wannacry勒索病毒绿盟威胁情报中心NTI公开分析报告

2017-05-14赵阳4.2 绿盟科技木马专杀解决方案, ETERNALBLUE SMB 漏洞, WanaCry蠕虫样本, WanaCry蠕虫样本分析报告, 勒索软件样本, 安全报告, 攻击定位, 文件结构, 绿盟科技, 绿盟科技检测服务

样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染，其中样本开始就连接了域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com测试网络连通性，如果能联通，则直接退出，如果不能联通，则继续后续行为。使用此种方式，可以在攻击者想要停止攻击时，即采用将未注册的域名进行注册的方式，停止此样本的进一步扩散。

【安全报告】WanaCrypt勒索蠕虫报告

2017-05-13李杰RSAS, TAC安全威胁分析系统, WanaCrypt勒索蠕虫报告, 利用漏洞进行渗透, 勒索软件, 安全报告, 绿盟科技

近日，勒索软件再次席卷全球，该勒索软件是一个名称为WannaCry的新家族，TAC安全威胁分析系统第一时间给出了深度权威分析。

【预警通告】全球爆发勒索软件“Wannacry”

2017-05-13绿盟科技MS17-010, 临时防护方案, 勒索软件 Wannacry, 勒索软件加密, 方程式组织, 绿盟科技

北京时间5月12日晚间，全球爆发了一系列勒索软件（Wannacry）的感染事件。国内大量企业遭到感染，多个高校的教育网受到感染，导致系统瘫痪。同时据英国广播电视台BBC报道，全球同一时间也爆发了多起勒索软件感染的事件，英国多家医院被感染，该勒索软件会加密被感染系统上的资料和数据，要求支付相应的赎金才会解密和恢复。包括俄罗斯，意大利，大部分欧洲国家，以及国内多所高校均被感染。