紧急通知
2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
时值毕业论文季,这种病毒在国内一些高校的教育网、校园网已经造成影响,致使许多实验数据文档和毕业论文文档被锁,被攻击者只有支付高额赎金才能解密恢复文件。
“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
目前,重庆大学信息化办公室暂未收到校内用户中招的报告,并于今晨发布紧急通知,望广大师生注意预防!
针对该现象,学校目前采取措施如下:
1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;
2.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
在此,小薇也为大家整理了一些预防措施及方法!
1.提前做好重要文件备份;
2.安装正版office系统;
3.停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。及时更新到操作系统的最新版本。
此漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
4.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请广大师生尽快为电脑安装此补丁;对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe
5.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
6.国内安全公司360已推出针对此次攻击的漏洞检测工具,可以通过手动下载微软三月安全补丁包中“KB4012215”补丁的方式来修复本次漏洞。
小薇科普:什么是445端口
445端口:445端口是一个毁誉参半的端口,他和139端口一起是IPC$入侵的主要通道。有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口漏洞。
小薇攻略:关闭445端口的方法
以Windows 7为例
首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。
在左侧边栏中,依次选取 “Windows 设置 - 安全设置 - IP安全策略,在 本地计算机”
接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”
随后在跳出的“IP安全策略向导”中右键
在第二步的名称中输入“关闭139,445”然后一路“下一步”
然后单击“完成”
在随后跳出的“关闭139,445”属性窗口中,单击添加。需要注意的是不要勾选右下角的“使用添加向导”
然后在"新规则 属性"窗口中,单击左下角的"添加"
需要注意的是这里也不要点击右下角的"使用添加向导"
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“任何IP地址”
然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为"从任意端口""到此端口":445,并单击确定。
需要注意的是这里也不要点击右下角的"使用添加向导"
在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止。
单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”,在切换到IP筛选器列表,勾选刚才建立的“445”。然后单击应用,再单击关闭。
回到组策略编辑器,右键单击右侧刚才创建的“关闭139,445”,在右键菜单当中选择分配,就成功关闭了445端口。
同样的方式关闭135、137、139端口
方法二:
给大家目前比较有效的临时预防措施:
立即关闭电脑的135,445端口
启动电脑的命令行(Win10直接右键开始按钮选择命令提示符),打开后输入netstat –ano即可查看目前电脑网络连接使用的端口,如果存在135,445端口请立即断开网络。
断开端口进行以下的操作:
打开“控制面板“,选择Windows防火墙
打开后在左侧选择高级设置
选择入站规则,在右侧选择新建规则
选择端口,点击下一步
在端口处选择特定本地端口,输入445(135稍后按同样的步骤关闭)
这里UDP也需要关闭,按此步骤再新建即可。
点击下一步后,选择阻止连接。
点击下一步选择作用区域,这里全部选中,因此次大范围攻击主要在校园网内,因此务必保证专用为选中状态。
名称和描述可以自定义。
为了保证安全请将以上四个端口全部封闭
然后运行输入services.msc
确保Windows Firewall服务处于运行状态,并为自动开启
同时在控制面板中查看防火墙是否开启
2.关闭网络共享
控制面板打开网络与共享中心
点击后选择左侧的更改高级共享设置
选择专用标签,关闭该标签下的所有共享设置:
点击保存更改,注销后生效。
确保以上之后请务必!务必!务必!
将目前的重要文件立刻上传到网盘或保存到移动储存设备中及时多次备份以免误感染造成的损失。
在这里提醒大家,切勿相信骗子在感染界面的赎回方式,因为很大概率上即便你支付了赎金也无法得到你原来的文件。如果感染,请立即联系专业人员尝试恢复,恢复后进行低格再重装系统。近期病毒比较猖獗,因而请勿下载、打开来源不明的文件程序等。
(本文方法来与网络,只为大家防范病毒,不作为商业牟利)