UIWIX勒索病毒修復(fù)補(bǔ)丁官方版

UIWIX勒索病毒修復(fù)補(bǔ)丁，是一款應(yīng)對新病毒的變種病毒UIWIX補(bǔ)丁，它跟WannaCry傳播方法類似，新的文件名是帶來UIWIX后綴，目前只有MS17-010微軟KB4012598才能解決，小編這里附上官方最新版本，趕緊升級一下吧。

UIWIX變種病毒打補(bǔ)丁有用嗎？

打該補(bǔ)丁依賴每個(gè)用戶和系統(tǒng)管理員，還依賴硬件基礎(chǔ)設(shè)施以及花錢將軟件升級到最新版本。這需要所有公司行動(dòng)一致，這就是為什么像這樣的安全漏洞留下了網(wǎng)絡(luò)犯罪分子經(jīng)常趁虛而入的后門。

如果你不能給系統(tǒng)打補(bǔ)丁，就要確保禁用了Windows SMBv1：

然而，US-CERT勸告用戶和管理員還要確保自己“針對所有邊界設(shè)備，在網(wǎng)絡(luò)邊界阻止所有版本的SMB，為此封阻TCP端口445�！边@種攻擊會發(fā)生的另一個(gè)途徑是，一臺易受攻擊的PC連接到公共無線網(wǎng)絡(luò)后，直接上網(wǎng)，然后為企業(yè)網(wǎng)絡(luò)構(gòu)建VPN。這可能會讓感染范圍進(jìn)一步擴(kuò)大開來！

勒索病毒爆發(fā)的原因

這次勒索軟件攻擊的范圍極其廣泛，原因是它鉆了WindowsSMBv1和SMBv2中的各種安全漏洞，大多數(shù)用戶對它們并沒有打上補(bǔ)丁，盡管微軟在2017年3月已發(fā)布了危急補(bǔ)丁。

SMB（服務(wù)器消息塊協(xié)議）介紹

這是一種文件共享協(xié)議，讓操作系統(tǒng)和應(yīng)用程序可以讀取數(shù)據(jù)，并將數(shù)據(jù)寫入到系統(tǒng)。它還讓系統(tǒng)可以向服務(wù)器請求服務(wù)。

該協(xié)議是作為一種應(yīng)用層網(wǎng)絡(luò)協(xié)議來運(yùn)行的，它用于為用戶提供共享訪問權(quán)，以便訪問連接至本地網(wǎng)絡(luò)的文件、打印機(jī)及其他設(shè)備。

在過去的4個(gè)月，網(wǎng)絡(luò)安全研究人員以及US-CERT先后警告：該協(xié)議會將系統(tǒng)暴露在遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)等安全漏洞面前。

如果該協(xié)議被啟用，即便系統(tǒng)使用SMBv2或v3，攻擊者也輕而易舉就能鉆網(wǎng)絡(luò)中這些安全漏洞的空子；如果攻擊者可以將通信協(xié)議降級至SMBv1，就能鉆系統(tǒng)的空子。這時(shí)候，針對啟用WindowsSMBv1的系統(tǒng)的中間人攻擊就成了個(gè)問題，即便該系統(tǒng)并沒有被使用。

UIWIX變種病毒防御方案

阿里云用戶盡快使用快照或其他方式備份數(shù)據(jù)，建議采用異地完整備份所有文件；

為受影響的操作系統(tǒng)安裝補(bǔ)丁，下載鏈接 ；

WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對此次事件的特殊補(bǔ)�。�https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/，因此建議您立即安裝相關(guān)補(bǔ)�。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補(bǔ)丁），修復(fù)漏洞。

關(guān)閉SMB服務(wù)；

復(fù)制代碼

net stop server

sc config lanmanserver start= disabled

使用安全組策略阻止內(nèi)網(wǎng)入和外網(wǎng)入方向的445端口；

不要隨意點(diǎn)擊打開可疑郵件、文件信息；

IOC：

146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detected as RANSOM_UIWIX.A

C72BA80934DC955FA3E4B0894A5330714DD72C2CD4F7FF6988560FC04D2E6494 (SHA256) – detected as TROJ_COINMINER.WN

Command and Control (C&C) domains related to TROJ_COINMINER.WN:

07[.]super5566[.]com

aa1[.]super5566[.]co