由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。
据新浪科技报道,除了教育网、校园网以外,这种病毒的影响范围疑似在逐渐扩大。微博上一些用户开始反馈,今日北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。
5月13日互联网上出现针对Windows操作系统的勒索软件的攻击案例,涉及到国内用户,已经构成较为严重的攻击威胁。中国多所高校被黑,加油站断网;台湾是重点攻击目标之一;英国医疗系统瘫痪;德国铁路也受影响,在全球几十个国家,企业、机构和普通用户的电脑出现故障。内地从出入境管理处、大学到加油站,无数电脑中招。基于此情况,国家互联网应急中心发布应急处置措施,建议用户及时更新Windows已发布的安全补丁,并做好四方面工作。
13日,互联网上出现针对Windows操作系统的勒索软件的攻击案例,勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物,涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁。
一、勒索软件情况
中国此次遭受攻击的主要是教育网用户。这种勒索软件利用微软“视窗”操作系统445端口的漏洞,国内一些网络运营商此前已封掉了该端口,但教育网并未设限。微软此前已发布相关漏洞补丁,但一些没来得及更新的电脑就会被攻击。郑文彬说,此次传播的病毒以代号ONION和WINCRY的两个家族为主,监测显示国内首先出现前者,后者在12日下午出现并在校园网中迅速扩散。
英国多家医院的网络当天也受到攻击,有医院因此取消手术,用救护车将病人紧急转往其他地方。英方称罪魁祸首是恶意软件“想解密”(又称“想哭”)。英国首相特雷莎·梅就此表示,这次袭击不是专门针对英国,而是一场波及整个世界的网络袭击的一部分。
西班牙国家情报中心12日证实,西班牙多家公司遭受了“大规模”的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。
俄罗斯网络安全企业卡巴斯基实验室12日发布一份报告说,当时已发现全球74个国家和地区遭受了此次攻击,实际范围可能更广。该机构说,在受攻击最多的20个国家和地区中,俄罗斯所受攻击远远超过其他受害者,中国大陆排在第五。
卡巴斯基强调,这次网络攻击所用的黑客工具“永恒之蓝”,来源于美国国家安全局的网络武器库。今年4月,黑客组织“影子经纪人”在网上披露一批美国国安局的黑客工具,其中就包括这个漏洞工具。
美国国土安全部12日发表声明称,已获悉上述勒索软件影响全球多个实体。但是,声明除介绍勒索软件的定义、微软已针对这个漏洞发布补丁、提醒用户应安装补丁外,没有说明更多情况。
今年3月,“维基揭秘”网站披露了一批据称是来自美国中情局的黑客工具,批评中情局对其黑客武器库已经失控,其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”,存在“极大的扩散风险”。
4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
表 有可能通过445端口发起攻击的漏洞攻击工具
工具名称 | 主要用途 |
ETERNALROMANCE | SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 |
EMERALDTHREAD | SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003 |
EDUCATEDSCHOLAR | SMB服务漏洞,对应MS09-050漏洞,针对445端口 |
ERRATICGOPHER | SMBv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,不影响windows Vista及之后的操作系统 |
ETERNALBLUE | SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从WindowsXP到Windows 2012 |
ETERNALSYNERGY | SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012 |
ETERNALCHAMPION | SMB v2漏洞,针对445端口 |
综合CNVD技术组成员单位奇虎360公司、安天公司等单位已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞 (MS17-010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。
而用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为 “.WNCRY”。
目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
二、应急处置措施
根据CNVD秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。CNCERT已经着手对勒索软件及相关网络攻击活动进行监测,目前共发现有向全球70多万个目标直接发起的针对MS17-010漏洞的攻击尝试。
据此,建议广大用户及时更新 Windows已发布的安全补丁,同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作:
(一)关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
(二)加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(三)由于微软对部分操作系统停止安全更新,建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持),使用替代操作系统。
(四)做好信息系统业务和个人数据的备份。
CNCERT后续将密切监测和关注该勒索软件对境内党政机关和重要行业单位以及高等院校的攻击情况,同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。
Windows 7中 关闭危险端口 135 139 445 的简单方法。
首先,点击“开始” 找到“控制面板” 在“控制面板中”找到“系统和安全”。
在“系统和安全”页面,找到“Windows 防火墙” 单机击打开。
在“Windows 防火墙”页面左侧找到“高级设置”单机打开。
在“高级安全 windows 防火墙”页面 左侧 找到 “入站规则”右键点击“新建规则”。
选择“端口”。 点击下一步。
这里要关闭什么端口就输入到“特定本地端口”一次关一个,方法都是一样的。然后点击“下一步”。
选择“阻止链接”。点击“下一步”。
留下“公用”。
名称和描述自己就随便起了,已经完成了。
Windows 2003和XP没有官方补丁之前,相关用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。
这波影响实在太大,微软被炸出来了,刚才决定对已经停止支持的Windows XP和Windows 2003发布特别补丁。
献上一波微软官方公告和网址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
综合自比特港等,若文章涉及版权问题,敬请原作者联系我们删除
智慧价值投资,助您稳健成长
中港股市龙虎榜(微信号AH_Stock开盘早报)
宏观资本比特港大数据(微信号AC_Stock收市点评)
点这里下载比特港股新闻大数据APP
(http://bitrmb.net/api/?q=pub_app&ct=jelon)