其他
【紧急通告】全球爆发勒索病毒攻击,请速度关闭445端口
事件描述
北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,共有74个国家的至少4.5万Windows系统电脑中招,并仍在迅速蔓延中。我国多家高校校园网也受到影响。部分高校学生反应电脑遭到病毒攻击,文档被加密。
攻击者称需支付价值300美元的比特币解锁,3日后金额翻倍。如用户拒绝支付,电脑中的全部资料将于7日内被删除。该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,点击 <Decrypt> 按钮,就可以免费恢复一些文档。(如下图)
根据世界顶级的网络安全机构通报,该病毒会扫描windows开放的445文件共享端口,只要开机上网,不发分子就能远程操控电脑,安装恶意程序。目前国内平均每天都有至少5000多台机器遭到该病毒攻击,而教育网是最严重的区域,目前受影响的有大连海事学院、贺州学院、桂林电子科技大学、桂林航天工业学院等大学。
事件分析
据悉,该病毒名为“wannacry”,利用的漏洞是微软 Windows 的 EternalBlue MS17-010 SMB。传播方式为内部网络传播,包括 VPN 连接、访客用的 WI-FI 等能连接到内部网的方式,通过机器开放端口 445 进入。
2017年4月14日黑客组织Shadow Brokers公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,微软已发布了该漏洞的补丁。时隔不到一个月,该漏洞已被利用,支持28种语言,对全球交通、医疗、教育等多个行业产生重大恶劣影响。
处置建议
目前大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响:扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。
1、网络层面
强烈建议网络管理员在网络边界的防火墙上阻断445 端口的访问,如果边界上有IPS 和下一代防火墙,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。微软MS17-010补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010。
2、终端层面
关闭操作系统不必要开放的端口,如445、135、137、138、139端口,关闭网络共享服务。
3、感染处理
42 26231 42 11224 0 0 1564 0 0:00:16 0:00:07 0:00:09 1969n>对于已经感染该病毒的机器,建议隔离处置。
4、预防要点
a、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
b、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
c、建议仍在使用windows xp, windows 2003操作系统的用户尽快升级到 window 7/windows 10,或 windows 2008/2012/2016操作系统。
针对此次勒索病毒爆发事件,任子行提醒广大用户要提高安全防范意识,做好网络安全防护措施和数据备份策略,采用更加积极主动的工具制定事前、事中、事后的安全策略,才能应对隐藏在网络世界中的不法分子。
任子行推出网络安全态势感知系统,可实时监控网络运行状况,识别网络异常入侵,把握网络安全事件发展趋势,并建立有效的威胁信息共享机制,确保网络系统运行的安全稳定。
支持与联系
● 任子行网络安全态势感知:通过对网络安全威胁的持续性监测和可视化展示,实现安全可视、可控、可预测,在准确直观的展示网络安全威胁风险之余,从全局视角提升用户对安全威胁的发现识别、理解分析、响应处置能力。
● 任子行下一代防火墙:针对个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等,实时扫描保卫网络安全。