发新话题
打印

通过自定义域名防止第一代比特币勒索病毒WannaCrypt传播的解决办法

通过自定义域名防止第一代比特币勒索病毒WannaCrypt传播的解决办法



      使用UTMWALL或大地云控系统的DNS自定义策略功能,新建一个域名解析,www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,IP指向一个有80端口的WEB服务器,再把DHCP服务器的DNS服务器地址指向本设备IP,或者在网关处将53/UDP流量重定向到本设备IP,或者修改PC Windows的DNS服务器设置为本设备IP。
      据了解,该域名是病毒开发者用于内部测试时的一个开关,当要进一步传播时,会先尝试连接该域名,如果能连通就不进一步扫描传播了,但由于是国外网站,从中国访问可能会被DNS污染,导致不能访问80端口的WEB服务,所以可以通过修改DNS服务器设置,并在该DNS服务器上做针对该域名的自定义解析达到同样的防止扩散的目的。

注意:本文只是技术上的建议,并未在实际病毒传播过程中得到检验,但该技术措施简便且开销不大,而且适合在与互联网隔离的内网中实施。


DNS代理过滤-域名规则设置示例
http://www.trustcomputing.com.cn/help/cn/appfilter/dnsfilter/dnsruleshow.html

做好解析后,可以在客户端的DOS下进行验证:
nslookup  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  121.42.51.234


最新中神通·大地DNS&URL&VPN云控管系统下载信息:
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174


参考:
他花了几十块钱,一瞬之间,阻止了整场网络风暴的继续传播!!
http://weibo.com/2549228714/F2WX61oBv

How to Accidentally Stop a Global Cyber Attacks:
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

永恒之蓝样本:
https://pan.baidu.com/share/init?shareid=3662580152&uk=1025499216  3rm3

微软官方定义:
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Ransom%3aWin32%2fWannaCrypt.A!rsm&threatid=2147720966&enterprise=0

月光博客:
此次勒索病毒如果稍加修改,就可变为一个专门攻击中国的终极网络武器,在病毒原有的代码里,会访问一个特定域名,如果这个域名可访问,那么就退出,如果这个域名不能访问,那么就开始攻击。如果这个域名是Google.com,那么只有中国的勒索病毒愈演愈烈,其他国家不会受到病毒的影响和攻击。

[ 本帖最后由 linda 于 2017-5-16 22:18 编辑 ]

TOP

发新话题