江民病毒監(jiān)測應(yīng)急中心發(fā)布緊急預(yù)警通知。5月12日起,全球爆發(fā)大規(guī)模勒索軟件感染事件,我國各行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染,教育系統(tǒng)尤其受損嚴重,國內(nèi)多所高校出現(xiàn)中了ONION勒索軟件現(xiàn)象。事發(fā)后,江民科技第一時間派遣工程師趕赴用戶現(xiàn)場進行處理,并緊急發(fā)布了應(yīng)對預(yù)案。
江民安全專家分析,該病毒是利用去年NSA黑客武器庫泄露的Eternal Blue,將今年二月份的一款勒索軟件進行升級,而后不法分子通過掃描公網(wǎng)或者局域網(wǎng)內(nèi)的開放了445文件共享端口的Windows用戶,只要該用戶開機上網(wǎng),并無需任何操作,就能在該用戶電腦主機中植入勒索軟件。
用戶感染該病毒后,磁盤文件會被病毒加密為.onion后綴,被感染的Windows用戶必須在7天之內(nèi)繳納比特幣作為贖金,否則由于其高強度的加密算法難以破解,被加密的文件往往無法解密,直接對被感染用戶造成嚴重的經(jīng)濟損失。
江民安全專家分析,該病毒是利用去年NSA黑客武器庫泄露的Eternal Blue,將今年二月份的一款勒索軟件進行升級,而后不法分子通過掃描公網(wǎng)或者局域網(wǎng)內(nèi)的開放了445文件共享端口的Windows用戶,只要該用戶開機上網(wǎng),并無需任何操作,就能在該用戶電腦主機中植入勒索軟件。
用戶感染該病毒后,磁盤文件會被病毒加密為.onion后綴,被感染的Windows用戶必須在7天之內(nèi)繳納比特幣作為贖金,否則由于其高強度的加密算法難以破解,被加密的文件往往無法解密,直接對被感染用戶造成嚴重的經(jīng)濟損失。
圖為開放了445端口的用戶,從圖中可以看出445端口處于監(jiān)聽狀態(tài)。
江民殺毒軟件第一時間對該病毒樣本進行了查殺,Trojan.WannaCry.a病毒被清除。
江民安全專家建議用戶在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問,如部署了江民病毒威脅預(yù)警系統(tǒng)或類似設(shè)備,請升級設(shè)備的檢測規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷,另外,請安裝了江民殺毒軟件的用戶及時將病毒庫升級到最新版。
應(yīng)對措施:
1. 關(guān)閉TCP和UDP相關(guān)的135和445端口。
win7/win8/win10用戶可以進入如下操作:
"控制面板"->"系統(tǒng)和安全"->"Windows防火墻"->"打開或關(guān)閉Windows防火墻"->勾選"啟用Windows防火墻"
返回到"Windows防火墻"->"高級設(shè)置"->點擊"入站規(guī)則"->"新建規(guī)則"->要創(chuàng)建的規(guī)則類型選擇"端口"->"下一步"->
選擇"TCP"協(xié)議->特定本地端口填入"445"->下一步->選擇"阻止連接"->直接下一步->名稱和描述可以任意輸入完成退出即可。
winxp、windows server用戶臨時解決方案:
"控制面板"->"Windows防火墻"->點擊"啟動"
另外可通過"cmd"->"net stop srv"、"net
stop rdr"、"net stop netbt"三條來關(guān)閉相關(guān)的網(wǎng)絡(luò)服務(wù)。
2.安裝了江民殺毒軟件的用戶,應(yīng)盡快將病毒庫升級到最新版本。
3.用戶應(yīng)該盡快安裝補丁MS17-010,網(wǎng)址為 https://technet.microsoft.com/zh-cn/library/security/MS17-010
| 系統(tǒng) | 補丁號 | 補丁包 |
| Windows Vista Windows Server 2008 | KB4012598 | 32位下載 64位下載 |
| Windows 7 Windows Server 2008 R2 | KB4012212 | 32位下載 64位下載 |
| KB4012215 | 32位下載 64位下載 | |
| Windows 8.1 | KB4012213 | 32位下載 64位下載 |
| KB4012216 | 32位下載 64位下載 | |
| Windows Server2012 | KB4012214 | 下載 |
| KB4012217 | 下載 | |
| Windows Server2012 R2 | KB4012213 | 32位下載 |
| KB4012216 | 32位下載 64位下載 | |
| Windows 10 | KB4012606 | 32位下載 64位下載 |
| Windows 10 1511 | KB4013198 | 32位下載 64位下載 |
| Windows 10 1607 | KB4013429 | 32位下載 64位下載 |
| win2003特別補丁 | KB4012598 | 32位下載 64位下載 |
| winxp特別補丁 | KB4012598 | 32位下載64位下載 |
4.用戶可以到江民官網(wǎng)下載工具,用于檢測此類漏洞,工具地址 https://filedown.jiangmin.com/MS17-010/JMTools.exe
5.用戶需提高安全意識,不輕易瀏覽位置網(wǎng)站,不輕易下載和安裝來源不明的軟件。
6.做好重要資料的備份,定期備份自己電腦中的重要文件到其他存儲介質(zhì)上。