查看原文
其他

紧急!"想哭蠕虫"病毒大爆发,全球大面积中招!不想破财看这里

2017-05-14 大纽约华人资讯

在过去48小时,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。不法分子使用NSA泄漏的黑客武器攻击Windows漏洞,把ONION、WNCRY等病毒在校园网快速传播感染,建议电脑用户尽快修补。


英国方面, 5月12日英国国家医疗服务体系遭遇了大规模网络攻击,多家公立医院的电脑系统几乎同时瘫痪,电话线路也被切断,导致很多急诊病人被迫转移。《每日邮报》称,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。


黑客武器搭载的勒索病毒感染界面,需要支付等额的300美金比特币才能解锁。


具体从硅谷著名的移动安全厂商 Trustlook 提供的数据看,本次病毒爆发涉及到全球,几乎没有任何的遗漏,下面是检测到的爆发点:


下图为某高校机房中毒现场图:


下图为中石油加油机中毒图:


下图为国外某机场中毒图:


下图为国外某机场中毒图:


比特币价格已因中毒事件产生了价格波动,如下图:



各地爆发爆发大爆发:

由于国内曾多次出现利用445端口传播的"蠕虫病毒",部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。


病毒发行者利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”,将2017年2月的一款病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。


“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁(MS17-010),无需用户任何操作,只要开机上网就能在电脑里执行任意代码,植入勒索病毒等恶意程序。这是一个利用永恒之蓝漏洞的勒索蠕虫,挺会PR的,外媒取了个名字叫 wannacry(想哭蠕虫),估计很多中病毒的人都想哭吧。


windows用户请务必安装微软MS17-010安全补丁信息:

https://technet.microsoft.com/zh-cn/library/security/MS17-010



针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”( http://dl.360safe.com/nsa/nsatool.exe ),能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。


如何防范病毒?

如您使用的是服务器,可用这段代码进行技术检测:

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)


alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)


alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)


如您使用的是Windows,请使用下面步骤进行检测:

1. 查看445端口是否开放并决定是否关停server服务

点击“开始”->“运行”->输入“cmd”->输入“netstat -an ”->回车->查看445端口状态

如果处于“listening”->暂时关停server服务:

点击“开始”->搜索框输入“cmd”->右键菜单选择“以管理员身份运营”->执行“net stop server”命令


2. 个人用户临时解决方案

开启系统防火墙->利用系统防火墙高级设置阻止向445端口进行连接->安装相应系统安全更新

win7/win8/win10:

控制面板->系统与安全->启用Windows防火墙->点击"高级设置"->点击“入站规则”->选择"新建规则"->规则类型选择“端口”->应用于“TCP”协议 特定本地端口并输入“445”->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->罪责名称任意输入并点击完成

winxp:

控制面板->安全中心->启用“Windows防火墙”->点击“开始”->“运行”->输入“cmd”->依次执行“net  stop rdr”、“net  stop srv”和“net  stop netbt”三条命令->升级操作系统版本并进行安全更新


最后,提醒大家:

备份! 备份!! 以最快速度买硬盘! 买硬盘!! 备份——

开启自动还原、各种云备份,安装杀毒软件并定期更新安全补丁,频繁建立备份文件,否则一旦中毒,就不是"想哭"那么简单了,将有各种血泪教训啊……


本平台原创内容

未经授权,谢绝公众号商业转载!


推荐阅读:

惊爆!华人在美卖假货遭围捕

按这个做在美国就能轻轻松松赚钱

美国懒人是这样照顾家的

华人在美国千万别犯这种错

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存