全球遭遇“永恒之藍”勒索蠕蟲攻擊

【熱點關(guān)注】

全球遭遇“永恒之藍”勒索蠕蟲攻擊

國內(nèi)高校成重災(zāi)區(qū)

本報訊 記者孫冉冉報道 2017年5月12日起，全球范圍內(nèi)爆發(fā)了基于Windows網(wǎng)絡(luò)共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼。100多個國家及國內(nèi)的高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件，對重要數(shù)據(jù)造成嚴重損失。

據(jù)悉，這是不法分子通過改造此前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件?！坝篮阒{”通過掃描開放445文件共享端口windows電腦甚至電子信息屏，無需用戶進行任何操作，只要開機聯(lián)網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。

當(dāng)系統(tǒng)被該勒索軟件感染后，一是會彈出勒索對話框，采用AES和RSA加密算法加密系統(tǒng)中的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行文件等類型的文件；二是會將自身復(fù)制到系統(tǒng)的每個文件夾下，并重命名為“@WanaDecryptor@.exe”；三是生成隨機IP并發(fā)起新的網(wǎng)絡(luò)攻擊。

該勒索軟件利用微軟SMB遠程代碼執(zhí)行漏洞CVE-2017-0144，微軟已在今年3月份發(fā)布了該漏洞的補丁。在之前就已經(jīng)爆發(fā)的多次利用445端口進行蠕蟲攻擊的事件中，部分運營商在主干網(wǎng)絡(luò)上已經(jīng)封禁了445端口，但是教育網(wǎng)以及大量企業(yè)內(nèi)網(wǎng)并沒有此限制，而且并未及時安裝補丁，仍然存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致了這次“永恒之藍”勒索蠕蟲的泛濫。據(jù)悉，目前全國范圍內(nèi)有數(shù)十所高校的校園網(wǎng)感染了這一病毒，而正值畢業(yè)季，許多學(xué)生的畢業(yè)論文和設(shè)計都因感染病毒而被鎖死。

阿里云安全專家分析，此次勒索事件在校園網(wǎng)傳播速度之快，影響面之大，主要原因是當(dāng)前大部分學(xué)?；臼且粋€大的內(nèi)網(wǎng)互通的局域網(wǎng)，不同的業(yè)務(wù)未劃分安全區(qū)域。例如：學(xué)生管理系統(tǒng)、教務(wù)系統(tǒng)等都可以通過任何一臺連入的設(shè)備訪問，

同時，實驗室、多媒體教室、機器IP分配多為公網(wǎng)IP，如果學(xué)校未做相關(guān)的權(quán)限限制，所有機器直接暴露在外面。

騰訊反病毒實驗室認為，各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒有對445端口做防范處理，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

不僅教育網(wǎng)被攻擊，公安局域網(wǎng)絡(luò)也沒能逃過一劫。蘇州地區(qū)目前已經(jīng)無法辦理車輛檢測、上牌照等業(yè)務(wù)，響水地區(qū)出入境辦理也需要暫緩。據(jù)新浪科技報道，除了教育網(wǎng)、校園網(wǎng)以外，這種病毒的影響范圍疑似在逐漸擴大。微博上一些用戶開始反饋，13日，北京、上海、江蘇、天津等多地的出入境、派出所等公安網(wǎng)也疑似遭遇了病毒襲擊。

鑒于這個勒索病毒擴散的越來越廣泛，微軟也是公開回應(yīng)，他們?yōu)樾碌膼阂廛浖ensom添加了檢測和保護：Win32.WannaCrypt，同時還正在與客戶合作提供額外的幫助。為了打消更多用戶的顧慮，現(xiàn)在微軟再次發(fā)出公告，如果用戶使用的是全新版本的Windows 10系統(tǒng)，并開啟Windows Defender的話，那么就會免疫這些勒索病毒。

國際計算機病毒應(yīng)急處理中心（以下簡稱“病毒應(yīng)急中心”）13日發(fā)布該勒索軟件的緊急預(yù)警。病毒應(yīng)急中心指出，由于該勒索軟件的加密強度大，目前被加密的文件還無法解密恢復(fù)。針對遭受攻擊的情況，建議采取如下措施：一是在無法判斷是否感染該勒索軟件的情況下，立即斷網(wǎng)，檢查電腦主機，修復(fù)MS17-010漏洞、關(guān)閉445端口。二是對已經(jīng)感染勒索軟件攻擊的機器建議立即隔離處置，防止感染范圍進一步擴大。三是出于基于權(quán)限最小化的安全實踐，建議用戶關(guān)閉并非必需使用的Server服務(wù)。四是及時備份重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)，針對重要業(yè)務(wù)終端進行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤或者設(shè)備進行替換。五是指出包括亞信、安天、360、北信源四家公司已經(jīng)研發(fā)出針對該病毒的最新專殺工具并給出專殺下載地址。

14日，北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》，指出有關(guān)部門監(jiān)測發(fā)現(xiàn)，WannaCry 勒索蠕蟲出現(xiàn)了變種：WannaCry 2.0，該變種的傳播速度可能會更快，該變種的有關(guān)處置方法與之前版本相同，建議立即進行關(guān)注和處置。

延伸閱讀

WannaCry 2.0處置工作建議

本報訊 5月14日，北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》。《通知》指出，有關(guān)部門監(jiān)測發(fā)現(xiàn)，WannaCry 勒索蠕蟲出現(xiàn)了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch，不能通過注冊某個域名來關(guān)閉變種勒索蠕蟲的傳播。建議立即進行關(guān)注和處置并同時給出處置意見。

一是立即組織內(nèi)網(wǎng)檢測，查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器，一旦發(fā)現(xiàn)中毒機器，立即斷網(wǎng)處置，目前看來對硬盤格式化可清除病毒。

二是目前微軟已發(fā)布補丁MS17-010修復(fù)了“永恒之藍”攻擊的系統(tǒng)漏洞，請盡快為電腦安裝此補丁，網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對于XP、2003等微軟已不再提供安全更新的機器，建議升級操作系統(tǒng)版本，或關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。

三是一旦發(fā)現(xiàn)中毒機器，立即斷網(wǎng)。

四是啟用并打開“Windows防火墻”，進入“高級設(shè)置”，在入站規(guī)則里禁用“文件和打印機共享”相關(guān)規(guī)則。關(guān)閉UDP135、445、137、138、139端口，關(guān)閉網(wǎng)絡(luò)文件共享。

五是嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備。

六是盡快備份自己電腦中的重要文件資料到存儲設(shè)備上。

七是及時更新操作系統(tǒng)和應(yīng)用程序到最新的版本。

八是加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。九、安裝正版操作系統(tǒng)、Office軟件等。

（孫冉冉）

本報擁有此文版權(quán)，若需轉(zhuǎn)載或復(fù)制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責(zé)任。