新的變種病毒UIWIX又來了，它跟WannaCry傳播方法類似，這次勒索軟件攻擊的范圍極其廣泛，原因是它鉆了WindowsSMBv1和SMBv2中的各種安全漏洞，大多數(shù)用戶對它們并沒有打上補丁，盡管微軟在2017年3月已發(fā)布了危急補丁。小編為大家?guī)�來UIWIX病毒查殺補丁，需要的朋友一定不要錯過哦！

UIWIX變種病毒打補丁有用嗎？

打該補丁依賴每個用戶和系統(tǒng)管理員，還依賴硬件基礎設施以及花錢將軟件升級到最新版本。這需要所有公司行動一致，這就是為什么像這樣的安全漏洞留下了網(wǎng)絡犯罪分子經(jīng)常趁虛而入的后門。

如果你不能給系統(tǒng)打補丁，就要確保禁用了Windows SMBv1：

然而，US-CERT勸告用戶和管理員還要確保自己“針對所有邊界設備，在網(wǎng)絡邊界阻止所有版本的SMB，為此封阻TCP端口445�！边@種攻擊會發(fā)生的另一個途徑是，一臺易受攻擊的PC連接到公共無線網(wǎng)絡后，直接上網(wǎng)，然后為企業(yè)網(wǎng)絡構建VPN。這可能會讓感染范圍進一步擴大開來！

勒索病毒爆發(fā)的原因

這次勒索軟件攻擊的范圍極其廣泛，原因是它鉆了WindowsSMBv1和SMBv2中的各種安全漏洞，大多數(shù)用戶對它們并沒有打上補丁，盡管微軟在2017年3月已發(fā)布了危急補丁。

SMB（服務器消息塊協(xié)議）介紹

這是一種文件共享協(xié)議，讓操作系統(tǒng)和應用程序可以讀取數(shù)據(jù)，并將數(shù)據(jù)寫入到系統(tǒng)。它還讓系統(tǒng)可以向服務器請求服務。

該協(xié)議是作為一種應用層網(wǎng)絡協(xié)議來運行的，它用于為用戶提供共享訪問權，以便訪問連接至本地網(wǎng)絡的文件、打印機及其他設備。

在過去的4個月，網(wǎng)絡安全研究人員以及US-CERT先后警告：該協(xié)議會將系統(tǒng)暴露在遠程代碼執(zhí)行和拒絕服務等安全漏洞面前。

如果該協(xié)議被啟用，即便系統(tǒng)使用SMBv2或v3，攻擊者也輕而易舉就能鉆網(wǎng)絡中這些安全漏洞的空子；如果攻擊者可以將通信協(xié)議降級至SMBv1，就能鉆系統(tǒng)的空子。這時候，針對啟用WindowsSMBv1的系統(tǒng)的中間人攻擊就成了個問題，即便該系統(tǒng)并沒有被使用。

UIWIX變種病毒防御方案

阿里云用戶盡快使用快照或其他方式備份數(shù)據(jù)，建議采用異地完整備份所有文件；

為受影響的操作系統(tǒng)安裝補丁，下載鏈接 ；

WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對此次事件的特殊補�。�https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/，因此建議您立即安裝相關補�。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補�。�，修復漏洞。

關閉SMB服務；

復制代碼

net stop server

sc config lanmanserver start= disabled

使用安全組策略阻止內(nèi)網(wǎng)入和外網(wǎng)入方向的445端口；

不要隨意點擊打開可疑郵件、文件信息；

IOC：

146581F0B3FBE00026EE3EBE68797B0E57F39D1D8AECC99FDC3290E9CFADC4FC (SHA256) — detected as RANSOM_UIWIX.A

C72BA80934DC955FA3E4B0894A5330714DD72C2CD4F7FF6988560FC04D2E6494 (SHA256) – detected as TROJ_COINMINER.WN

Command and Control (C&C) domains related to TROJ_COINMINER.WN:

07[.]super5566[.]com

aa1[.]super5566[.]co