一��、事件概況
2017年5月12日20時(shí)左右���,全球爆發(fā)大規(guī)模勒索軟件感染事件��,英國(guó)、意大利����、俄羅斯等全球多個(gè)國(guó)家爆發(fā)勒索病毒攻擊。
我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染�,教育網(wǎng)受損嚴(yán)重,攻擊造成了教學(xué)系統(tǒng)癱瘓��,甚至包括校園一卡通系統(tǒng)�。
眾多師生的電腦文件被病毒加密,只有支付贖金才能恢復(fù)���,由于正值高校畢業(yè)季��,勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改���,直接影響到畢業(yè)答辯��。
二��、WannaCry勒索軟件
此次勒索軟件的主角“WannaCry”(也被稱(chēng)為“Wannadecrypt0r”���、“wannacryptor”或“ wcry”),它會(huì)掃描開(kāi)放445文件共享端口的Windows機(jī)器��,無(wú)需用戶(hù)任何操作��,只要開(kāi)機(jī)上網(wǎng)�,不法分子就能在電腦和服務(wù)器中植入執(zhí)行勒索程序、遠(yuǎn)程控制木馬���、虛擬貨幣挖礦機(jī)等惡意程序��。
軟件利用美國(guó)國(guó)家安全局黑客武器庫(kù)泄露的“永恒之藍(lán)”發(fā)起病毒攻擊��。
事實(shí)上����,微軟已經(jīng)在三月份發(fā)布相關(guān)漏洞(MS17-010)修復(fù)補(bǔ)丁��,但很多用戶(hù)都沒(méi)有及時(shí)修復(fù)更新����,因而遭到此次攻擊。
Win7以下的Windows XP/2003目前沒(méi)有補(bǔ)丁�����,只要開(kāi)啟SMB服務(wù)就受影響�����。
一旦電腦感染了Wannacry病毒��,受害者要高達(dá)300美元比特幣的勒索金才可解鎖�����。否則�,電腦就無(wú)法使用,且文件會(huì)被一直封鎖�����。
勒索軟件將受感染電腦里的文件使用AES-128算法加密��,感染后的文件擴(kuò)展名會(huì)變?yōu)?UIWIX,.WNCRY擴(kuò)展名�����,需要解密秘鑰才可以還原文件���。
在文件被加密的同時(shí)�,會(huì)彈出一個(gè)名為Wanna Decryptor 2.0的彈出窗口����。說(shuō)明了你已經(jīng)遭到攻擊以及如何恢復(fù)文件。
建議中招的小伙伴們也不要急著支付贖金����,思考下是否有備用數(shù)據(jù)/快照。即便支付贖金也不一定能解鎖�����,因?yàn)楣粽咭膊灰欢ㄖ朗悄呐_(tái)電腦支付了贖金��。
三�、應(yīng)急處置方法
1、防火墻屏蔽445端口
2�����、利用 Windows Update 進(jìn)行系統(tǒng)更新
3�、關(guān)閉 SMBv1 服務(wù)3.1 適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶(hù)
對(duì)于客戶(hù)端操作系統(tǒng):
打開(kāi)“控制面板”,單擊“程序”����,然后單擊“打開(kāi)或關(guān)閉 Windows 功能”。
在“Windows 功能”窗口中�,清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框,然后單擊“確定”以關(guān)閉此窗口��。重啟系統(tǒng)��。
對(duì)于服務(wù)器操作系統(tǒng):
打開(kāi)“服務(wù)器管理器”�,單擊“管理”菜單,然后選擇“刪除角色和功能”��。在“功能”窗口中���,清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框����,然后單擊“確定”以關(guān)閉此窗口�。重啟系統(tǒng)����。
3.2 適用于運(yùn)行Windows 7�、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008���,修改注冊(cè)表���。
注冊(cè)表路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建項(xiàng)︰ SMB1,值0(DWORD)重新啟動(dòng)計(jì)算機(jī)
最后提醒大家����,重要的數(shù)據(jù)備份,備份����,再備份。重要的事情說(shuō)三遍����!
作者:阿里聚安全
從國(guó)家互聯(lián)網(wǎng)應(yīng)急中心獲悉,“WannaCry”病毒屬于蠕蟲(chóng)式勒索軟件���,通過(guò)利用編號(hào)為MS17—010的Windows漏洞(被稱(chēng)為“永恒之藍(lán)”)主動(dòng)傳播感染受害者����。截至14日10時(shí)30分,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測(cè)到約242.3萬(wàn)個(gè)IP地址遭受“永恒之藍(lán)”漏洞攻擊����;被該勒索軟件感染的IP地址數(shù)量近3.5萬(wàn)個(gè)�����,其中中國(guó)境內(nèi)IP約1.8萬(wàn)個(gè)�。
周一(15日)工作日首日,是電腦開(kāi)機(jī)的高峰��,也是勒索蠕蟲(chóng)傳播的高峰�,360安全監(jiān)測(cè)與響應(yīng)中心向與勒索蠕蟲(chóng)病毒關(guān)系密切的服務(wù)器管理員、桌面終端管理員���、普通用戶(hù)分別提供了完整的安全開(kāi)機(jī)操作指南���。在安全開(kāi)機(jī)操作指南中,360企業(yè)安全向用戶(hù)提供了詳細(xì)的攻擊預(yù)警通告�����,以及專(zhuān)業(yè)的工具軟件包。用戶(hù)可以選擇通過(guò)安全U盤(pán)或在未被感染的電腦從網(wǎng)絡(luò)上下載�����,并按照指南中的流程進(jìn)行安全操作�����,就可以最大限度避免勒索蠕蟲(chóng)的侵害�。
中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心表示,目前���,安全業(yè)界暫未能有效破除該勒索軟件的惡意加密行為����,用戶(hù)主機(jī)一旦被勒索軟件滲透�����,只能通過(guò)重裝操作系統(tǒng)的方式來(lái)解除勒索行為�,但用戶(hù)重要數(shù)據(jù)文件不能直接恢復(fù)。
及時(shí)更新操作系統(tǒng)補(bǔ)丁
據(jù)了解��,目前��,國(guó)內(nèi)多家安全機(jī)構(gòu)與企業(yè)正在密切關(guān)注與監(jiān)測(cè)該病毒的發(fā)展與傳播情況。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心建議廣大用戶(hù)及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁��,在網(wǎng)絡(luò)邊界����、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機(jī)資產(chǎn)�、數(shù)據(jù)備份方面關(guān)閉445����、135、137�����、139等端口(可以認(rèn)為是計(jì)算機(jī)與外界通訊的出口)的外部網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限��,加強(qiáng)這些端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪(fǎng)問(wèn)審計(jì)�����,及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為�����;安裝并及時(shí)更新殺毒軟件;不要輕易打開(kāi)來(lái)源不明的電子郵件����;并定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)。
在防范上�,騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專(zhuān)家馬勁松指出��,一是臨時(shí)關(guān)閉端口���。Windows用戶(hù)可以使用防火墻過(guò)濾個(gè)人電腦�����,并且臨時(shí)關(guān)閉135�����、137�、445端口3389遠(yuǎn)程登錄(如果不想關(guān)閉3389遠(yuǎn)程登錄�,至少也是關(guān)閉智能卡登錄功能),并注意更新安全產(chǎn)品進(jìn)行防御����,盡量降低電腦受攻擊的風(fēng)險(xiǎn)�。
二是及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁����。在3月MS17—010漏洞剛被曝出的時(shí)候,微軟已經(jīng)針對(duì)Win7��、Win10等系統(tǒng)在內(nèi)提供了安全更新�����;此次事件爆發(fā)后�,微軟也迅速對(duì)此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁��。
三是利用“勒索病毒免疫工具”進(jìn)行修復(fù)���。用戶(hù)通過(guò)其他電腦下載各個(gè)安全軟件開(kāi)啟免疫功能�,并將文件拷貝至安全�����、無(wú)毒的U盤(pán)�;再將指定電腦在關(guān)閉Wi—Fi、拔掉網(wǎng)線(xiàn)、斷網(wǎng)狀態(tài)下開(kāi)機(jī)�����,并盡快備份重要文件�����;然后通過(guò)U盤(pán)使用“勒索病毒免疫工具”離線(xiàn)版���,進(jìn)行一鍵修復(fù)漏洞�;聯(lián)網(wǎng)即可正常使用電腦�����。
四是備份����。重要的資料一定要備份,謹(jǐn)防資料丟失���。
五是殺毒軟件���,360里面有勒索病毒服務(wù)���,是免費(fèi)的。
粵公網(wǎng)安備44011302004697
