近期,勒索病毒肆虐,攻击着人们的电脑安全。yuwenm小编整理了2017年勒索病毒防范通知,欢迎欣赏与借鉴。
CERNET各会员单位:
北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播。据有关媒体报道,感染该病毒后的系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密。因此该病毒可能给用户带来的危害很难估计。
该攻击代码利用了Windows文件共享协议中的一个安全漏洞通过TCP 445端口进行攻击,漏洞影响Windows全线的操作系统,微软2017年3月的例行补丁(MS17-010)对该漏洞进行了修补。WannaCry/Wcry勒索蠕虫病毒所利用的漏洞攻击代码是黑客组织Shadow Brokers(影子经纪人)在今年4月14日披露的Equation Group(方程式组织)使用的黑客工具包中的一个,攻击程序名为ETERNALBLUE,国内安全厂商命名为“永恒之蓝”。
为防范该病毒对CERNET各用户单位计算机系统的感染和传播,尽可能减少其危害和影响,建议CERNET各用户单位尽快采取相应的具体防范措施建议,见附件。
中国教育和科研计算机网CERNET
应急响应组CCERT
2017年5月13日
2017年5月12日勒索病毒来袭,重要文件被加密。经过初步调查,此类勒索病毒传播扩散利用了基于445端口的SMB漏洞,感染机器大量重要信息被加密,损失严重。此次远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的EquationGroup(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
【处置建议】:
1.根据微软官方发布的声明称,上述表项中涉及的大部分漏洞已在微软目前支持更新的产品中修复,因此建议从微软官方进行系统升级,保持操作系统补丁的更新。
2.由于微软已经停止对Windows XP、Windows Vista、Windows Server 2000和Windows Server 2003等的安全更新,因此这些用户以及其他未及时升级最新补丁的用户可能具有极大的安全隐患,考虑到近期有可能出现的攻击威胁,建议做好以下措施:
(1)关闭135、137、139、445、3389等端口的网络访问,在办公用机和服务器上关闭上述服务端口,关闭方式为本地停用相关服务或者在本地系统“防火墙”上禁用相关端口;
(2)做好本单位Window XP、Windows Vista、Windows server 2000和Windows server 2003等主机的排查,使用替代操作系统;
(3) IMAIL、IBM Lotus、MDaemon 等软件产品用户需要及时关注厂商安全更新,及时修复。
(4)由于本次Wannacry蠕虫事件的巨大影响,微软总部决定发布已停服的XP和部分服务器版特别补丁,请组织对使用xp的终端进行升级。
【安全提示】:
(1)、做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
(2)、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
(3)、注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
(4)、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
(5)、不要打开来历不明或可疑的电子邮件和附件。
