转载 | 关于防范ONION勒索软件病毒攻击的紧急通知

调研

征集

学在

医大

教在

医大

信息

动态

更新

功能

>>内容转载自江西省教育厅

紧急安全预警通报

5月12日晚20点左右，国内部分高校学生反映电脑被病毒攻击，文档被加密，攻击者称需支付比特币解锁。

攻击者利用Windows系统默认开放的445端口在高校校园网内进行传播，不需要用户进行任何操作即可进行感染。

感染后设备上的所有文件都将会被加密，一旦被加密即使支付也不一定能够获得解密密码。

据悉，“勒索”病毒是全国性的，疑似通过校园网传播，十分迅速。请全省各单位严加防范，立刻关闭445端口并尽快升级系统补丁，做好防护措施。

各高校网络安全负责人务必高度注意，立即采取措施！！！ 

漏洞信息

这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。

防范措施

尚未感染，担心有风险的用户

1. 核对操作系统版本

若Windows7及以上操作版本系统，建议尽快安装微软官网布补丁MS17-010，该补丁修复了“永恒之蓝”攻击的系统漏洞。 

*补丁下载地址：

https://technet.microsoft.com/zhcn/library/security/MS17-010

同时检查系统更新，将各种系统版本更新至最新。

若是XP等微软已不再提供安全更新的机器，可以安装反勒索防护软件。例如360“NSA武器库免疫工具” 下载地址：

http://dl.360safe.com/nsa/nsatool.exe

注：此软件属于第三方软件，联想无法对使用此软件后出现的问题承担责任，请慎重使用。

2. 关闭445、135、137、138、139端口，关闭网络共享

关闭方法参考如下：

家庭普通版系统（无组策略）：

https://jingyan.baidu.com/article/0aa22375bf88b288cc0d6490.html

专业版系统（有策略）: 

http://blog.csdn.net/wangjialiang/article/details/7241875

注：以上文章来自互联网，仅供参考，联想无法对文章承担相关责任。如果在关闭的过程中遇到问题，请扫描文末二维码使用人工服务。

3. 强化网络安全意识

不明链接不要点击，不明文件不要下载，不明邮件不要打开；

4. 数据备份

尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该存储介质；

5. 系统升级

建议仍在使用Windows XP， Windows 2003操作系统的用户尽快升级到 Window 7/Windows 10，或 Windows Server 2008/Windows Server 2012/Windows Server 2016操作系统并更新至最新版本；

6. 使用正版的常用软件。

目前已经中毒，受到感染的用户

建议全盘格式化，清空磁盘后，重新安装系统预装正版Windows系统的联想电脑可以送至附近联想官方售后帮您重新灌装预装的正版操作系统。

注：格式化磁盘重新安装系统会导致之前硬盘上所以数据的清空，请提前知晓。如果涉及硬盘有个人重要数据，请先考虑数据恢复的可能性。

处置建议

一、确认影响范围

扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS07-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。

二、应急处置方法

⚫网络层面

目前利用漏洞进行攻击传播的蠕虫开始泛滥，建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。

🔵终端层面

暂时关闭Server服务。

检查系统是否开启Server服务：

1、打开 开始 按钮，点击 运行，输入cmd，点击确定

2、输入命令：netstat -an 回车

3、查看结果中是否还有445端口

如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：

点击 开始 按钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd图标，选择 以管理员身份运行 ，在出来的 cmd 窗口中执行 “net stop server”命令，会话如下图：

🔵感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

2、选择启动防火墙，并点击确定

  3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

 XP系统的处理流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、点击开始，运行，输入cmd，确定执行下面三条命令

net  stop rdr

net  stop srv

net  stop netbt

3、由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。

信息来源：江西省教育厅

--The End--

编辑：胡雪源

更多精彩热文：

· 动态 | 学校顺利完成2016-2017学年第二学期期中教学检查毕业论文（设计）专项工作

· 通知 | 关于选派优秀本科学生赴俄罗斯莫斯科第一国立医科大学短期培训的通知

· 通知 | 关于选拔优秀本科生参加俄罗斯沃洛涅日国立医科大学夏令营的通知

· 通知 | 首届东方医学教育论坛征文通知

· 动态 | 招生咨询第三期培训会开讲啦

· 以学为本，建以致用——学校组织各学院分别开展省精品在线开放课程建设研讨会

温州医科大学教务处

我们分享教育教学理念和发展趋势

我们发布学习和教学的最新信息

我们聚焦学生老师最关心的问题解析

我们传播医大“教与学”的正能量

投稿邮箱：jwctg@wmu.edu.cn

欢迎大家投稿~~