5月12日康铭,多所高校報(bào)告廊谓,反映大量學(xué)校電腦感染勒索病毒,重要文件被加密麻削,類似下圖所示蒸痹。
1.0 事件分析
根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào),這是不法分子利用NSA黑客武器庫(kù)泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊事件呛哟〉“永恒之藍(lán)”會(huì)掃描開放445文件共享端口的Windows機(jī)器,無(wú)需用戶任何操作扫责,只要開機(jī)上網(wǎng)榛鼎,不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬鳖孤、虛擬貨幣挖礦機(jī)等惡意程序者娱。
由于以前國(guó)內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲,運(yùn)營(yíng)商對(duì)個(gè)人用戶已封掉445端口苏揣,但是教育網(wǎng)并沒有此限制黄鳍,仍然存在大量暴露445端口的機(jī)器。據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)平匈,目前國(guó)內(nèi)平均每天有5000多臺(tái)機(jī)器遭到NSA“永恒之藍(lán)”黑客武器的遠(yuǎn)程攻擊框沟,教育網(wǎng)是受攻擊的重災(zāi)區(qū)。
目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞增炭,請(qǐng)盡快為電腦安裝此補(bǔ)度淘铩;對(duì)于XP隙姿、2003等微軟已不再提供安全更新的機(jī)器梅垄,推薦使用“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口输玷,可以避免遭到勒索軟件等病毒的侵害队丝。
影響系統(tǒng)
此次利用的SMB漏洞影響以下未自動(dòng)更新的操作系統(tǒng):
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
2. 0 防 范
2.1 個(gè)人預(yù)防措施:
2.1.1 級(jí)操作系統(tǒng)的處理方式(不推薦,僅能臨時(shí)緩解):
啟用并打開“Windows防火墻”饲嗽,進(jìn)入“高級(jí)設(shè)置”炭玫,在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。
2.1.2 升級(jí)操作系統(tǒng)的處理方式(推薦):
建議廣大師生使用自動(dòng)更新升級(jí)到Windows的最新版本貌虾。
2.2 學(xué)校緩解措施:
2.21.在邊界出口交換路由設(shè)備禁止外網(wǎng)對(duì)校園網(wǎng)135/137/139/445端口的連接吞加;
2.2.2.在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。
3 建議加固措施:
3.1及時(shí)升級(jí)操作系統(tǒng)到最新版本尽狠;
3.2 勤做重要文件非本地備份衔憨;
3.3 停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)袄膏。
參考鏈接:https://technet.microsoft.com/zh-cn/library/security/MS17-010https://github.com/x0rz/EQGRP_Lost_in_Translation/