CÁCH KHẮC PHỤC CVE 2017 0144

      9

Hai ngày nay, mã độc có tên là WannaCry đã tiến công vào các máy tính xách tay với mục tiêu mã hóa dữ liệu để đòi tiền chuộc, tác động tới nhiều tổ chức, cá nhân trên phạm vi toàn cầu.

Bạn đang xem: Cách khắc phục cve 2017 0144

Đang xem: Smb:cve-2017-0144 là gì

Cụ thể mã độc WannaCry (hoặc có tên gọi khác là WannaCrypt, WanaCrypt0r 2.0) khai quật lỗ hổng trên hệ quản lý Windows của Microsoft (MS17-010 – “ETERNALBLUE”) có tương quan tới các công cụ khai quật được công bố bởi đội Shadow Brokers sử dụng bởi NSA vào tháng 3/2017 vừa qua.

ruby-forum.org gửi ra một số trong những tổng hợp quá trình cần thực hiện cho hệ thống cho những tổ chức, công ty như sau:

Các cách khắc phục chung:

+ cập nhật ngay các phiên phiên bản hệ điều hành quản lý windows vẫn sử dụng. Hoặc upgrade máy trạm lên Windows 10https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

+ Riêng đối với các máy vi tính sử dụng Windows XP, sử dụng phiên bản cập nhật tiên tiến nhất dành riêng biệt tại:https://www.microsoft.com/en-us/download/details.aspx…+ Đối cùng với tổ chức, doanh nghiệp, nhất là với các quản trị viên khối hệ thống cần bắt buộc kiểm tra tức thì lập tức những máy công ty và tạm thời khóa (block) những dịch vụ sẽ sử dụng các cổng 445/137/138/139.

Hoặc theo hướng dẫn liên kết sau nhằm tắt dịch vụ share SMB trên vật dụng windows

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

+ update cơ sở tài liệu mới cho những máy chủ/ máy trạm thiết lập phần mềm bạn dạng quyền Antivirus Endpoint như TrendMicro/Symantec

+ những tổ chức, doanh nghiệp tận dụng các phương án đảm bảo bình an thông tin đang xuất hiện sẵn trong tổ chức triển khai như Firewall, IDS/IPS, SIEM…để theo dõi, thống kê giám sát và bảo đảm hệ thống trong năm này.


+ Những thông tin nhận dạng về các loại mã độc tống tiền bắt đầu này, bao hàm 33 địa chỉ IP các máy chủ điều khiển và tinh chỉnh mã độc (C&C Server); 10 tệp tin với 22 mã băm (Hash SHA-256).

Xem thêm: Tủ Bán Hàng Nhôm Kính Giá Bao Nhiêu Tiền, Tủ Bán Hàng Nhôm Kính

*
*

Danh sách IP ,Domain, Hash áp dụng bởi WannaCry

IP Address:Port
197.231.221.221:900150.7.161.218:9001
128.31.0.39:9191217.79.179.177:9001
149.202.160.69:9001213.61.66.116:9003
46.101.166.19:9090212.47.232.237:9001
91.121.65.179:900181.30.158.223:9001
2.3.69.209:900179.172.193.32:443
146.0.32.144:900138.229.72.16:443

Hãng 

Nhóm sản phẩm 

Khuyến cáo 

TrendMicro 

AV/APT/Web& email SecurityThông tin chi tiết về loại mã độc này trên website của TrendMicro.

http://blog.trendmicro.com/…/massive-wannacrywcry-ransomwa…/

Cấu hình các thành phầm để ứng phó với ransomware theo KB:

https://success.trendmicro.com/solution/1112223Với OfficeScan tự phiên bản 11SP1, phải vào cấu hình mục Behavior Monitoring.

Phiên bạn dạng OfficeScan 10.6 trở xuống đã không còn được hỗ trợ, cho nên vì vậy vui lòng tăng cấp lên phiên bạn dạng mới hơn theo hướng dẫn dưới để đảm bảo hệ thống được an toàn:– tăng cấp path – số đông version nào có thể upgrade lên OfficeScan XG:https://success.trendmicro.com/solution/1115393

– Backup trước lúc nâng cấp:https://success.trendmicro.com/solution/1039284

– buổi tối ưu hóa những tính năng anti-malware sau khi nâng cấphttps://success.trendmicro.com/solution/1054115

Kích hoạt bản lĩnh chống virus mã hóa tài liệu (ransomware)https://success.trendmicro.com/solution/1111377Về bỏ ra tiết, xin vui lòng đọc kỹ và tuân theo các trả lời trong link dưới để đảm bảo an toàn hệ thống được an toàn: https://success.trendmicro.com/solution/1117391

 
 

FireEyeAPT(Web, Email, Enpoint)FireEye lời khuyên các phiên bản update như sau:

Trên chiến thuật Endpoint HX(từ phiên bản 3.0 trở lên vẫn có tính năng chặn những ransome ware):

• Exploit Guard

• AV Alerts if using Beta/Alpha BitDefender Integration

• WMIC SHADOWCOPY DELETE (METHODOLOGY)

• WANNACRY RANSOMWARE (FAMILY

Trên giải pháp Network NX (từ phiên bản security nội dung 600.18 trở lên):

• Trojan.SinkholeMalware (khi phát hiện callback áp dụng domain và IP đã được cập nhật là cái họ Ransomware sẽ hiện thị Alert với tên là Trojan.SinkholeMalware) 

Pala Alto Networks 

NG-FirewallThông tin chi tiết về loại mã độc này bên trên website của Palo Alto Networks:

Một số Best Practice nhằm phòng kháng Ransomware từ Palo Alto:

https://live.paloaltonetworks.com/t5/Featured-Articles/Best-Practices-for-Ransomware-Prevention/ta-p/74148

Cụ thể đối với dòng WannaCry:

Cập nhật phiên bản update security content 698 trường đoản cú PAN OS 5.0 trở lên với Threat Prevention bao hàm các lỗ hổng (CVE-2017-0144 – MS17-010 – CVE-2017-0146) 

Tenable 

Vulnerability Manager/ScannerThông tin chi tiết về các loại mã độc này bên trên website của Tenable

• http://www.tenable.com/blog/wannacry-three-actions-you-can-take-right-now-to-prevent-ransomware

• cập nhật các plugin Tenable 97086, 97737, 97833, 700099

• rà soát sử dụng PVS tín hiệu DNS của Malware.

• thanh tra rà soát sử dụng Dashboard SC – WannaCry để tìm vết hiệu.

• thanh tra rà soát sử dụng PVS xem liên kết từ thiết bị trạm cho tới cổng 445 của sản phẩm khác – dấu hiệu lây lan trong mạng qua giao thức SMB.
 

Symantec 

AV/Web & email SecurityThông tin cụ thể về một số loại mã độc này trên website của Symantec

https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99