5月13日消息,昨日晚間,一款電腦勒索病毒在全球爆發(fā),波及99個(gè)國家及地區(qū)。病毒將電腦鎖定,勒索價(jià)值300美元(約合2070元人民幣)的比特幣才能解鎖。在中國地區(qū),校園網(wǎng)成了主要的受害者。對此360表示,此次校園網(wǎng)勒索病毒是由NSA泄漏的“永恒之藍(lán)”黑客武器傳播的。445端口暴露+沒安裝補(bǔ)丁導(dǎo)致電腦被攻擊。
360稱,“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享),如果系統(tǒng)沒有安裝今年3月的微軟補(bǔ)丁,無需用戶任何操作,只要開機(jī)上網(wǎng),“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼,植入勒索病毒等惡意程序。
由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒,部分運(yùn)營商對個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無此限制,存在大量暴露著445端口的機(jī)器,因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。正值高校畢業(yè)季,勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改,直接影響到畢業(yè)答辯。
360針對校園網(wǎng)勒索病毒事件的監(jiān)測數(shù)據(jù)顯示,國內(nèi)首先出現(xiàn)的是ONION病毒,平均每小時(shí)攻擊約200次,夜間高峰期達(dá)到每小時(shí)1000多次;WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊,并在中國的校園網(wǎng)迅速擴(kuò)散,夜間高峰期每小時(shí)攻擊約4000次。
360表示,針對NSA黑客武器利用的Windows系統(tǒng)漏洞,微軟在今年3月已發(fā)布補(bǔ)丁修復(fù)。對XP、2003等已經(jīng)停止更新的系統(tǒng),免疫工具可以關(guān)閉漏洞利用的端口,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。
而騰訊電腦管家表示,針對該病毒的補(bǔ)丁,在3月份就已經(jīng)發(fā)布,建議開啟實(shí)時(shí)攔截病毒,如果還未選擇修復(fù)漏洞,請盡快使用“漏洞修復(fù)”功能進(jìn)行掃描修復(fù)。
相關(guān)閱讀:
關(guān)于近日大量學(xué)校電腦感染勒索病毒的說明
姜開達(dá)/中國高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組
5月12日,中國高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組(安全工作組)接到多所高校報(bào)告,反映大量學(xué)校電腦感染勒索病毒,重要文件被加密,類似下圖所示。
經(jīng)過初步調(diào)查,此類勒索病毒傳播擴(kuò)散利用了基于445端口的SMB漏洞,部分學(xué)校感染臺(tái)數(shù)較多,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復(fù)文件,損失嚴(yán)重。此次遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的EquationGroup(方程式組織)使用黑客工具包有關(guān)。其中的ETERNALBLUE模塊是SMB漏洞利用程序,可以攻擊開放了445端口的Windows機(jī)器,實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補(bǔ)丁,修復(fù)了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上廣泛流傳,除了捆綁勒索病毒,還發(fā)現(xiàn)有植入遠(yuǎn)程控制木馬等其他多種遠(yuǎn)程利用方式。
根據(jù)360公司的統(tǒng)計(jì),目前國內(nèi)平均每天有不低于5000臺(tái)機(jī)器遭到基于ETERNALBLUE的遠(yuǎn)程攻擊,并且攻擊規(guī)模還在迅速擴(kuò)大。
此次利用的SMB漏洞影響以下未自動(dòng)更新的操作系統(tǒng):
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
個(gè)人預(yù)防措施:
1.未升級操作系統(tǒng)的處理方式(不推薦,僅能臨時(shí)緩解):
啟用并打開“Windows防火墻”,進(jìn)入“高級設(shè)置”,在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。
2.升級操作系統(tǒng)的處理方式(推薦):
建議廣大師生使用自動(dòng)更新升級到Windows的最新版本。
學(xué)校緩解措施:
1.在邊界出口交換路由設(shè)備禁止外網(wǎng)對校園網(wǎng)135/137/139/445端口的連接;
2.在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。
建議加固措施:
1.及時(shí)升級操作系統(tǒng)到最新版本;
2.勤做重要文件非本地備份;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。