全球遭遇“永恒之蓝”勒索蠕虫攻击
【热点关注】
全球遭遇“永恒之蓝”勒索蠕虫攻击
国内高校成重灾区
本报讯 记者孙冉冉报道 2017年5月12日起,全球范围内爆发了基于Windows网络共享协议进行攻击传播的蠕虫恶意代码。100多个国家及国内的高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
据悉,这是不法分子通过改造此前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口windows电脑甚至电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。
当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@WanaDecryptor@.exe”;三是生成随机IP并发起新的网络攻击。
该勒索软件利用微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。在之前就已经爆发的多次利用445端口进行蠕虫攻击的事件中,部分运营商在主干网络上已经封禁了445端口,但是教育网以及大量企业内网并没有此限制,而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致了这次“永恒之蓝”勒索蠕虫的泛滥。据悉,目前全国范围内有数十所高校的校园网感染了这一病毒,而正值毕业季,许多学生的毕业论文和设计都因感染病毒而被锁死。
阿里云安全专家分析,此次勒索事件在校园网传播速度之快,影响面之大,主要原因是当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问,
同时,实验室、多媒体教室、机器IP分配多为公网IP,如果学校未做相关的权限限制,所有机器直接暴露在外面。
腾讯反病毒实验室认为,各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,此骨干网出于学术目的,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。
不仅教育网被攻击,公安局域网络也没能逃过一劫。苏州地区目前已经无法办理车辆检测、上牌照等业务,响水地区出入境办理也需要暂缓。据新浪科技报道,除了教育网、校园网以外,这种病毒的影响范围疑似在逐渐扩大。微博上一些用户开始反馈,13日,北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。
鉴于这个勒索病毒扩散的越来越广泛,微软也是公开回应,他们为新的恶意软件Rensom添加了检测和保护:Win32.WannaCrypt,同时还正在与客户合作提供额外的帮助。为了打消更多用户的顾虑,现在微软再次发出公告,如果用户使用的是全新版本的Windows 10系统,并开启Windows Defender的话,那么就会免疫这些勒索病毒。
国际计算机病毒应急处理中心(以下简称“病毒应急中心”)13日发布该勒索软件的紧急预警。病毒应急中心指出,由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:一是在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。二是对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。三是出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。四是及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。五是指出包括亚信、安天、360、北信源四家公司已经研发出针对该病毒的最新专杀工具并给出专杀下载地址。
14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》,指出有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
延伸阅读
WannaCry 2.0处置工作建议
本报讯 5月14日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。建议立即进行关注和处置并同时给出处置意见。
一是立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二是目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
三是一旦发现中毒机器,立即断网。
四是启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件共享。
五是严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
六是尽快备份自己电脑中的重要文件资料到存储设备上。
七是及时更新操作系统和应用程序到最新的版本。
八是加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。九、安装正版操作系统、Office软件等。
(孙冉冉)
本报拥有此文版权,若需转载或复制,请注明来源于中国政府采购报,标注作者,并保持文章的完整性。否则,将追究法律责任。
责任编辑:lizheng
点击排行
欢迎订阅中国政府采购报
我国政府采购领域第一份“中”字头的专业报纸——《中国政府采购报》已于2010年5月7日正式创刊!
《中国政府采购报》由中国财经报社主办,作为财政部指定的政府采购信息发布媒体,服务政府采购改革,支持政府采购事业,推动政府采购发展是国家和时代赋予《中国政府采购报》的重大使命。
《中国政府采购报》的前身是伴随我国政府采购事业一路同行12年的《中国财经报?政府采购周刊》。《中国政府采购报》以专业的水准、丰富的资讯、及时的报道、权威的影响,与您一起把握和感受中国政府采购发展事业的脉搏与动向。
《中国政府采购报》为国际流行对开大报,精美彩色印刷;每周二、周五出版,每期8个版,全年订价276元,每月定价23元,每季定价69元。零售每份3元。可以破月、破季订阅。 可以破月、破季订阅。
欢迎订阅《中国政府采购报》!
订阅方式:邮局订阅(请到当地邮局直接订阅)
