昨天晚上,全球爆发了一次大规模的勒索软件事件。目前,此次病毒攻击还未对我校造成影响,学校也在第一时间安排了技术人员,对校园网全网禁止445等端口通信。
大川友情提示,为了电脑里辛苦一年的实验数据、毕业论文,还请大家高度重视。大川也为大家搜罗了一些预防病毒入侵的措施!
事件概述
北京时间2017年5月12日晚,全球爆发大规模勒索软件感染事件,一个名为“永恒之蓝”的蠕虫勒索病毒波及近100个国家,包括英国、美国、中国、俄罗斯、西班牙和意大利,约7.5万台计算机被感染。
国内多个高校校内网、大型企业内网和政府机构专网中招,危害目前仍在持续快速扩大。该病毒会加密电脑和服务器中几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,感染者只有缴纳高额赎金(有的要比特币)才能解密资料和数据。
勒索软件界面
利用原理
其迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。
全球勒索病毒感染状况分布
软件分析
该软件扫描开放 445 文件共享端口的的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。当系统被该勒索软件入侵后,系统中.doc, .docx, .xls, .xlsx等近180种类型的文件会被加密,后缀名被统一修改为“.WNCRY”。
此次是通过蠕虫来部署,蠕虫病毒是一种常见的计算机病毒,它利用网络传播自身功能的拷贝或自身的某些部分到其他的计算机系统中,因此一切与被感染主机有网络连接的设备都将被感染。因此,此次蠕虫危害,受影响的是主要是具有内网环境的企业、校园及公共事业等组织机构。受感染的内网中的重要文件和数据已经被加密,已经严重影响了企业、校园及公共事业等组织机构的正常业务执行,并已产生巨大的数据泄露和信息损害。
全球445端口开放状况分布
预防措施
一、漏洞检测
微软提供免费查扫工具:http://www.microsoft.com/security/scanner/,下载双击运行即可。
360“NSA武器库免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,检测系统是否存在漏洞,并关闭受到漏洞影响的端口。
二、修复方案
临时修复:关闭445端口,关闭网络共享(具体操作见下文)
建议修复:微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,打开系统自动更新,检测更新并安装,重启电脑。为计算机安装最新的安全补丁,或者手动下载安装
https://technet.microsoft.com/zh-cn/library/security/MS17-010;
对于Windows XP、2003等机器,除尽快升级到window 7/Windows外,也可下载微软总部刚发布的XP和部分服务器版WindowsServer2003特别安全补丁
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。
其他方式:360企业安全天擎团队开发的系统免疫工具,程序在电脑上运行以后,现有蠕虫将不会感染系统。下载地址:https://eyun.360.cn/surl_yZ3RsYgQuvu(提取码:e2ab)
具体操作步骤
一、启用Windows防火墙并关闭 445 端口
方法一:
下载一键禁用445端口脚本
点击www.secboot.com/445.zip,下载解压
右键点击“管理员身份运行”即可。
方法二:
(1)打开控制面板,点击系统和安全
(2)打开Windows防火墙
(3)点击“打开或关闭Windows防火墙”
(4)启用Windows防火墙,点击“确定”
(5)点击“高级设置”
(6)点击右侧的“新建规则”
(7)创建“端口”规则,点击“下一步”
(8)在特定本地端口输入“445”,点击“下一步”
(9)选择“阻止连接”,点击“下一步”
(10)全选,点击“下一步”
(11)任意输入名称,点击“完成”,即可关闭445端口。
二、关闭网络文件共享
(1)打开“控制面板”,点击“网络和Internet”
(2)点击“网络和共享中心”
(3)点击“更改高级共享设置”
(4)选择“关闭文件和打印机共享”,点击“保存修改”
最后,大川也要提醒大家:
1、为避免数据丢失,请做好信息系统业务和个人数据的备份。
2、保持良好的网络使用习惯:
不随意打开不明来源的Office文档、可执行文件。
使用Chrome、Firefox、360安全等安全防护功能较好的浏览器。
不打开来源不明的网络连接。
不下载和安装来源不明的主机应用和移动应用。
大川
来源/ 四川大学网络空间安全学院
编辑/向令、胡玉琦