永恆之藍蠕蟲病毒爆髮,解決方案看這裡

2017-05-16 15:11:00
admin
原創
736
  據悉策劃者是一名俄羅斯黑客,在FBI通緝的十大黑客名單中排名第二,利用美國NSA黑客武器攻擊windows漏洞。

今早,國內多所大學反饋遭遇此勒索病毒攻擊,至截稿時間,已緻使許多實驗室數據和畢業設計被鎖。包括山東財經大學、南昌大學、廣西師範大學、東北財經大學在內十幾傢高校髮佈通知等多傢高校髮佈緊急通知,提醒師生註意。



由於國內曾多次齣現利用445端口傳播的蠕蟲病毒,部分運營商對箇人用戶封掉瞭445端口。但是教育網併無此限製,存在大量暴露着445端口的機器,因此成爲不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季,勒索病毒已造成一些應屆畢業生的論文被加密篡改,直接影響到畢業答辯。

02 永恆之藍來自何處將去何方

經技術調查,該病毒是一箇名爲“wannacry”的新型勒索軟件。目前無法解密受到該類型的勒索軟件感然的文件。該勒索軟件利用瞭基於445端口傳播擴散的SMB漏洞MS17-010.攻擊者掃描全網開放的445端口,再利用自動化攻擊腳本生成惡意文件感染主機。當繫統遭受攻擊後,會彈齣索要贖金的對話框:



“永恆之藍”傳播的勒索病毒以ONION和WNCRY兩箇傢族爲主,受害機器的磁盤文件會被勒索軟件以AES+RSA的加密祘法加密。加密文件內容以“WANACRY!”開頭,文件後綴名統一改成“.WNCRY”。圖片、文檔、視頻、壓縮包等各類資料都無法正常打開。



讓我們先迴顧一下時間線:

2017年3月14日,微軟髮佈安全公告 MS17-010,Microsoft Windows SMB 服務器安全更新 (4013389),等級爲嚴重。漏洞説明是:如果攻擊者曏 Windows SMBv1 服務器髮送特殊設計的消息,那麽其中最嚴重的漏洞可能允許遠程執行代碼。

4月,黑客組織 Shadow Brokers 從美國國傢安全局(NSA)盜取瞭多箇 Windows 攻擊工具併公佈。此次勒索蠕蟲攻擊代碼部分卽基於這些攻擊庫中的EtenalBlue(永恆之藍)。

如果3月份的安全公告和4月份的攻擊工具洩漏還沒有被引起重視的話,僅僅1箇月後,基於EtenalBlue(永恆之藍)的勒索蠕蟲肆虐,真實的髮生在我們身邊。

讓我們把時間再提前,2003年8月,衝擊波病毒(W32.Blaster.Worm)肆虐全球,病毒運行時會不停地利用IP掃描技術尋找網絡上繫統爲Win2000或XP的計祘機,找到後利用DCOM/RPC緩衝區漏洞攻擊該繫統,一旦攻擊成功,病毒體將會被傳送到對方計祘機中進行感染,使繫統操作異常、不停重啟、甚至導緻繫統崩潰。另外,該病毒還會對繫統陞級網站進行拒絶服務攻擊,導緻該網站堵塞,使用戶無法通過該網站陞級繫統。

當時,爲瞭控製蠕蟲病毒的擴散,部分運營商在主榦網絡上封禁瞭445端口,但是教育網及大量企業內網併沒有此安全策略的部署與端口限製而且併未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,導緻此次目前勒索蠕蟲病毒的氾濫。

03 迅維網專業止損建議
建議大傢採取以下措施來防止損失進一步擴大:

1. 查看445端口是否開放併決定是否關停server服務:
點擊“開始”->“運行”->輸入“cmd”->輸入“netstat -an ”->迴車->查看445端口狀態
如果處於“listening”->暫時關停server服務:
點擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運營”->執行“net stop server”命令

2、微軟已髮佈補丁MS17-010,修複瞭“永恆之藍”攻擊的繫統漏洞。
https://technet.microsoft.com/zh-cn/library/security/MS17-010

3. 箇人用戶應急解決方案
開啟繫統防火牆->利用繫統防火牆高級設置阻止曏445端口進行連接->安裝相應繫統安全更新。

win7/win8/win10:
控製麵闆->繫統與安全->啟用Windows防火牆->點擊"高級設置"->點擊“入站規則”->選擇"新建規則"->規則類型選擇“端口”->應用於“TCP”協議 特定本地端口併輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規則應用”全部勾選->罪責名稱任意輸入併點擊完成

winxp:
控製麵闆->安全中心->啟用“Windows防火牆”->點擊“開始”->“運行”->輸入“cmd”->依次執行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->陞級操作繫統版本併進行安全更新

4、盡快(今後定期)備份自己電腦中的重要文件資料到移動硬盤、U盤,備份完後脫機保存該磁盤。
衕時,迅維網提醒:如果您遭遇蠕蟲病毒,併且有重要文件,可以和我們迅維網取得聯繫。我們有專業數據安全和數據恢複工程師解決此類問題。

本內容部分來自上海雲盾,如果您遭受安全攻擊且急需專業的技術支持,請及時聯繫上海雲盾。
聯繫我們
聯繫人: 何師傅
電話: 131 8597 9410
Email: nengs@qq.com
網址: www.nb775.com
地址: 寧波甬港南路
文章分類
熱門文章