一、事件概況
2017年5月12日20時(shí)左右,全球爆發(fā)大規(guī)模勒索軟件感染事件����,英國、意大利���、俄羅斯等全球多個(gè)國家爆發(fā)勒索病毒攻擊�。
我國大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染��,教育網(wǎng)受損嚴(yán)重�,攻擊造成了教學(xué)系統(tǒng)癱瘓,甚至包括校園一卡通系統(tǒng)�����。
眾多師生的電腦文件被病毒加密�,只有支付贖金才能恢復(fù),由于正值高校畢業(yè)季���,勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改�����,直接影響到畢業(yè)答辯���。
二�、WannaCry勒索軟件
此次勒索軟件的主角“WannaCry”(也被稱為“Wannadecrypt0r”����、“wannacryptor”或“ wcry”),它會掃描開放445文件共享端口的Windows機(jī)器���,無需用戶任何操作���,只要開機(jī)上網(wǎng),不法分子就能在電腦和服務(wù)器中植入執(zhí)行勒索程序�����、遠(yuǎn)程控制木馬��、虛擬貨幣挖礦機(jī)等惡意程序���。
軟件利用美國國家安全局黑客武器庫泄露的“永恒之藍(lán)”發(fā)起病毒攻擊。
事實(shí)上��,微軟已經(jīng)在三月份發(fā)布相關(guān)漏洞(MS17-010)修復(fù)補(bǔ)丁,但很多用戶都沒有及時(shí)修復(fù)更新�����,因而遭到此次攻擊�。
Win7以下的Windows XP/2003目前沒有補(bǔ)丁,只要開啟SMB服務(wù)就受影響����。
一旦電腦感染了Wannacry病毒,受害者要高達(dá)300美元比特幣的勒索金才可解鎖�����。否則���,電腦就無法使用����,且文件會被一直封鎖���。
勒索軟件將受感染電腦里的文件使用AES-128算法加密�,感染后的文件擴(kuò)展名會變?yōu)?UIWIX��,.WNCRY擴(kuò)展名,需要解密秘鑰才可以還原文件�。
在文件被加密的同時(shí),會彈出一個(gè)名為Wanna Decryptor 2.0的彈出窗口�����。說明了你已經(jīng)遭到攻擊以及如何恢復(fù)文件��。
建議中招的小伙伴們也不要急著支付贖金����,思考下是否有備用數(shù)據(jù)/快照。即便支付贖金也不一定能解鎖�����,因?yàn)楣粽咭膊灰欢ㄖ朗悄呐_電腦支付了贖金�。
三、應(yīng)急處置方法
1����、防火墻屏蔽445端口
2、利用 Windows Update 進(jìn)行系統(tǒng)更新
3����、關(guān)閉 SMBv1 服務(wù)3.1 適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶
對于客戶端操作系統(tǒng):
打開“控制面板”,單擊“程序”�,然后單擊“打開或關(guān)閉 Windows 功能”。
在“Windows 功能”窗口中�,清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框,然后單擊“確定”以關(guān)閉此窗口�。重啟系統(tǒng)。
對于服務(wù)器操作系統(tǒng):
打開“服務(wù)器管理器”�,單擊“管理”菜單,然后選擇“刪除角色和功能”�。在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框�����,然后單擊“確定”以關(guān)閉此窗口��。重啟系統(tǒng)�����。
3.2 適用于運(yùn)行Windows 7��、 Windows Server 2008 R2��、 Windows Vista 和 Windows Server 2008,修改注冊表��。
注冊表路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建項(xiàng)︰ SMB1�,值0(DWORD)重新啟動計(jì)算機(jī)
最后提醒大家,重要的數(shù)據(jù)備份����,備份,再備份�。重要的事情說三遍!
作者:阿里聚安全
從國家互聯(lián)網(wǎng)應(yīng)急中心獲悉����,“WannaCry”病毒屬于蠕蟲式勒索軟件,通過利用編號為MS17—010的Windows漏洞(被稱為“永恒之藍(lán)”)主動傳播感染受害者�����。截至14日10時(shí)30分��,國家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測到約242.3萬個(gè)IP地址遭受“永恒之藍(lán)”漏洞攻擊�;被該勒索軟件感染的IP地址數(shù)量近3.5萬個(gè),其中中國境內(nèi)IP約1.8萬個(gè)���。
周一(15日)工作日首日�����,是電腦開機(jī)的高峰�,也是勒索蠕蟲傳播的高峰����,360安全監(jiān)測與響應(yīng)中心向與勒索蠕蟲病毒關(guān)系密切的服務(wù)器管理員、桌面終端管理員�����、普通用戶分別提供了完整的安全開機(jī)操作指南��。在安全開機(jī)操作指南中���,360企業(yè)安全向用戶提供了詳細(xì)的攻擊預(yù)警通告�����,以及專業(yè)的工具軟件包�����。用戶可以選擇通過安全U盤或在未被感染的電腦從網(wǎng)絡(luò)上下載�,并按照指南中的流程進(jìn)行安全操作,就可以最大限度避免勒索蠕蟲的侵害��。
中國國家互聯(lián)網(wǎng)應(yīng)急中心表示�,目前,安全業(yè)界暫未能有效破除該勒索軟件的惡意加密行為��,用戶主機(jī)一旦被勒索軟件滲透�����,只能通過重裝操作系統(tǒng)的方式來解除勒索行為���,但用戶重要數(shù)據(jù)文件不能直接恢復(fù)��。
及時(shí)更新操作系統(tǒng)補(bǔ)丁
據(jù)了解�����,目前���,國內(nèi)多家安全機(jī)構(gòu)與企業(yè)正在密切關(guān)注與監(jiān)測該病毒的發(fā)展與傳播情況。國家互聯(lián)網(wǎng)應(yīng)急中心建議廣大用戶及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁��,在網(wǎng)絡(luò)邊界�����、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機(jī)資產(chǎn)���、數(shù)據(jù)備份方面關(guān)閉445�、135����、137�����、139等端口(可以認(rèn)為是計(jì)算機(jī)與外界通訊的出口)的外部網(wǎng)絡(luò)訪問權(quán)限����,加強(qiáng)這些端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問審計(jì),及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為�;安裝并及時(shí)更新殺毒軟件;不要輕易打開來源不明的電子郵件�����;并定期在不同的存儲介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)���。
在防范上����,騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松指出����,一是臨時(shí)關(guān)閉端口。Windows用戶可以使用防火墻過濾個(gè)人電腦�,并且臨時(shí)關(guān)閉135、137�����、445端口3389遠(yuǎn)程登錄(如果不想關(guān)閉3389遠(yuǎn)程登錄�����,至少也是關(guān)閉智能卡登錄功能)���,并注意更新安全產(chǎn)品進(jìn)行防御��,盡量降低電腦受攻擊的風(fēng)險(xiǎn)��。
二是及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁���。在3月MS17—010漏洞剛被曝出的時(shí)候����,微軟已經(jīng)針對Win7�����、Win10等系統(tǒng)在內(nèi)提供了安全更新�����;此次事件爆發(fā)后���,微軟也迅速對此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁。
三是利用“勒索病毒免疫工具”進(jìn)行修復(fù)����。用戶通過其他電腦下載各個(gè)安全軟件開啟免疫功能,并將文件拷貝至安全���、無毒的U盤�;再將指定電腦在關(guān)閉Wi—Fi�����、拔掉網(wǎng)線、斷網(wǎng)狀態(tài)下開機(jī)��,并盡快備份重要文件���;然后通過U盤使用“勒索病毒免疫工具”離線版���,進(jìn)行一鍵修復(fù)漏洞;聯(lián)網(wǎng)即可正常使用電腦����。
四是備份。重要的資料一定要備份�����,謹(jǐn)防資料丟失��。
五是殺毒軟件�,360里面有勒索病毒服務(wù),是免費(fèi)的�。
粵公網(wǎng)安備44011302004697
