永恒之蓝蠕虫病毒爆发,解决方案看这里

2017-05-16 15:11:00
admin
原创
640
  据悉策划者是一名俄罗斯黑客,在FBI通缉的十大黑客名单中排名第二,利用美国NSA黑客武器攻击windows漏洞。

今早,国内多所大学反馈遭遇此勒索病毒攻击,至截稿时间,已致使许多实验室数据和毕业设计被锁。包括山东财经大学、南昌大学、广西师范大学、东北财经大学在内十几家高校发布通知等多家高校发布紧急通知,提醒师生注意。



由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。

02 永恒之蓝来自何处将去何方

经技术调查,该病毒是一个名为“wannacry”的新型勒索软件。目前无法解密受到该类型的勒索软件感然的文件。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010.攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。当系统遭受攻击后,会弹出索要赎金的对话框:



“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被勒索软件以AES+RSA的加密算法加密。加密文件内容以“WANACRY!”开头,文件后缀名统一改成“.WNCRY”。图片、文档、视频、压缩包等各类资料都无法正常打开。



让我们先回顾一下时间线:

2017年3月14日,微软发布安全公告 MS17-010,Microsoft Windows SMB 服务器安全更新 (4013389),等级为严重。漏洞说明是:如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。

4月,黑客组织 Shadow Brokers 从美国国家安全局(NSA)盗取了多个 Windows 攻击工具并公布。此次勒索蠕虫攻击代码部分即基于这些攻击库中的EtenalBlue(永恒之蓝)。

如果3月份的安全公告和4月份的攻击工具泄漏还没有被引起重视的话,仅仅1个月后,基于EtenalBlue(永恒之蓝)的勒索蠕虫肆虐,真实的发生在我们身边。

让我们把时间再提前,2003年8月,冲击波病毒(W32.Blaster.Worm)肆虐全球,病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。

当时,为了控制蠕虫病毒的扩散,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此安全策略的部署与端口限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致此次目前勒索蠕虫病毒的泛滥。

03 迅维网专业止损建议
建议大家采取以下措施来防止损失进一步扩大:

1. 查看445端口是否开放并决定是否关停server服务:
点击“开始”->“运行”->输入“cmd”->输入“netstat -an ”->回车->查看445端口状态
如果处于“listening”->暂时关停server服务:
点击“开始”->搜索框输入“cmd”->右键菜单选择“以管理员身份运营”->执行“net stop server”命令

2、微软已发布补丁MS17-010,修复了“永恒之蓝”攻击的系统漏洞。
https://technet.microsoft.com/zh-cn/library/security/MS17-010

3. 个人用户应急解决方案
开启系统防火墙->利用系统防火墙高级设置阻止向445端口进行连接->安装相应系统安全更新。

win7/win8/win10:
控制面板->系统与安全->启用Windows防火墙->点击"高级设置"->点击“入站规则”->选择"新建规则"->规则类型选择“端口”->应用于“TCP”协议 特定本地端口并输入“445”->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->罪责名称任意输入并点击完成

winxp:
控制面板->安全中心->启用“Windows防火墙”->点击“开始”->“运行”->输入“cmd”->依次执行“net stop rdr”、“net stop srv”和“net stop netbt”三条命令->升级操作系统版本并进行安全更新

4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
同时,迅维网提醒:如果您遭遇蠕虫病毒,并且有重要文件,可以和我们迅维网取得联系。我们有专业数据安全和数据恢复工程师解决此类问题。

本内容部分来自上海云盾,如果您遭受安全攻击且急需专业的技术支持,请及时联系上海云盾。
联系我们
联系人: 何师傅
电话: 131 8597 9410
Email: nengs@qq.com
网址: www.nb775.com
地址: 宁波甬港南路
文章分类
热门文章