江民發(fā)布緊急預(yù)案:應(yīng)對(duì)全球最大規(guī)模勒索病毒襲擊
江民病毒監(jiān)測(cè)應(yīng)急中心發(fā)布緊急預(yù)警通知。5月12日起,全球爆發(fā)大規(guī)模勒索軟件感染事件,我國(guó)各行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染,教育系統(tǒng)尤其受損嚴(yán)重,國(guó)內(nèi)多所高校出現(xiàn)中了ONION勒索軟件現(xiàn)象。事發(fā)后,江民科技第一時(shí)間派遣工程師趕赴用戶現(xiàn)場(chǎng)進(jìn)行處理,并緊急發(fā)布了應(yīng)對(duì)預(yù)案。
江民安全專家分析,該病毒是利用去年NSA黑客武器庫(kù)泄露的Eternal Blue,將今年二月份的一款勒索軟件進(jìn)行升級(jí),而后不法分子通過(guò)掃描公網(wǎng)或者局域網(wǎng)內(nèi)的開(kāi)放了445文件共享端口的Windows用戶,只要該用戶開(kāi)機(jī)上網(wǎng),并無(wú)需任何操作,就能在該用戶電腦主機(jī)中植入勒索軟件。
用戶感染該病毒后,磁盤文件會(huì)被病毒加密為.onion后綴,被感染的Windows用戶必須在7天之內(nèi)繳納比特幣作為贖金,否則由于其高強(qiáng)度的加密算法難以破解,被加密的文件往往無(wú)法解密,直接對(duì)被感染用戶造成嚴(yán)重的經(jīng)濟(jì)損失。
江民安全專家分析,該病毒是利用去年NSA黑客武器庫(kù)泄露的Eternal Blue,將今年二月份的一款勒索軟件進(jìn)行升級(jí),而后不法分子通過(guò)掃描公網(wǎng)或者局域網(wǎng)內(nèi)的開(kāi)放了445文件共享端口的Windows用戶,只要該用戶開(kāi)機(jī)上網(wǎng),并無(wú)需任何操作,就能在該用戶電腦主機(jī)中植入勒索軟件。
用戶感染該病毒后,磁盤文件會(huì)被病毒加密為.onion后綴,被感染的Windows用戶必須在7天之內(nèi)繳納比特幣作為贖金,否則由于其高強(qiáng)度的加密算法難以破解,被加密的文件往往無(wú)法解密,直接對(duì)被感染用戶造成嚴(yán)重的經(jīng)濟(jì)損失。
圖為開(kāi)放了445端口的用戶,從圖中可以看出445端口處于監(jiān)聽(tīng)狀態(tài)。
江民殺毒軟件第一時(shí)間對(duì)該病毒樣本進(jìn)行了查殺,Trojan.WannaCry.a病毒被清除。
江民安全專家建議用戶在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問(wèn),如部署了江民病毒威脅預(yù)警系統(tǒng)或類似設(shè)備,請(qǐng)升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷,另外,請(qǐng)安裝了江民殺毒軟件的用戶及時(shí)將病毒庫(kù)升級(jí)到最新版。
應(yīng)對(duì)措施:
1. 關(guān)閉TCP和UDP相關(guān)的135和445端口。
win7/win8/win10用戶可以進(jìn)入如下操作:
"控制面板"->"系統(tǒng)和安全"->"Windows防火墻"->"打開(kāi)或關(guān)閉Windows防火墻"->勾選"啟用Windows防火墻"
返回到"Windows防火墻"->"高級(jí)設(shè)置"->點(diǎn)擊"入站規(guī)則"->"新建規(guī)則"->要?jiǎng)?chuàng)建的規(guī)則類型選擇"端口"->"下一步"->
選擇"TCP"協(xié)議->特定本地端口填入"445"->下一步->選擇"阻止連接"->直接下一步->名稱和描述可以任意輸入完成退出即可。
winxp、windows server用戶臨時(shí)解決方案:
"控制面板"->"Windows防火墻"->點(diǎn)擊"啟動(dòng)"
另外可通過(guò)"cmd"->"net stop srv"、"net
stop rdr"、"net stop netbt"三條來(lái)關(guān)閉相關(guān)的網(wǎng)絡(luò)服務(wù)。
2.安裝了江民殺毒軟件的用戶,應(yīng)盡快將病毒庫(kù)升級(jí)到最新版本。
3.用戶應(yīng)該盡快安裝補(bǔ)丁MS17-010,網(wǎng)址為 https://technet.microsoft.com/zh-cn/library/security/MS17-010
| 系統(tǒng) | 補(bǔ)丁號(hào) | 補(bǔ)丁包 |
| Windows Vista Windows Server 2008 | KB4012598 | 32位下載 64位下載 |
| Windows 7 Windows Server 2008 R2 | KB4012212 | 32位下載 64位下載 |
| KB4012215 | 32位下載 64位下載 | |
| Windows 8.1 | KB4012213 | 32位下載 64位下載 |
| KB4012216 | 32位下載 64位下載 | |
| Windows Server2012 | KB4012214 | 下載 |
| KB4012217 | 下載 | |
| Windows Server2012 R2 | KB4012213 | 32位下載 |
| KB4012216 | 32位下載 64位下載 | |
| Windows 10 | KB4012606 | 32位下載 64位下載 |
| Windows 10 1511 | KB4013198 | 32位下載 64位下載 |
| Windows 10 1607 | KB4013429 | 32位下載 64位下載 |
| win2003特別補(bǔ)丁 | KB4012598 | 32位下載 64位下載 |
| winxp特別補(bǔ)丁 | KB4012598 | 32位下載64位下載 |
4.用戶可以到江民官網(wǎng)下載工具,用于檢測(cè)此類漏洞,工具地址 https://filedown.jiangmin.com/MS17-010/JMTools.exe
5.用戶需提高安全意識(shí),不輕易瀏覽位置網(wǎng)站,不輕易下載和安裝來(lái)源不明的軟件。
6.做好重要資料的備份,定期備份自己電腦中的重要文件到其他存儲(chǔ)介質(zhì)上。