5月12日,安全工作组接到多所高校报告,反馈大量学校电脑感染勒索病毒,重要文件被加密,类似下图所示。
经过初步调查,此类勒索病毒利用了基于端口传播扩散的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。远程利用代码和4月14日黑客组织ShadowBrokers(影子经纪人)公布的EquationGroup(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序,可以攻击开放了端口的Windows机器,实现远程命令执行。微软在今年3月发布的MS17-补丁,修复了ETERNALBLUE等远程利用漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
根据公司的统计,目前国内平均每天有不低于台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还有进一步扩大趋势。
此漏洞影响以下未自动更新的操作系统:
WindowsXP/Windows/Windows
WindowsVista/WindowsServer/WindowsServerR2
Windows7/Windows8/Windows10
WindowsServer/WindowsServerR2/WindowsServer
学校缓解措施:
根据网络信息中心网络部的通知,我校13日凌晨已经在校园网出口及网络信息中心服务器区域进行了相关技术处理及隔离。
个人预防措施:
为了保护我们每一个同学的期末大作业,毕业设计数据,面对勒索病毒,我们能够做什么呢?贴心的南小青特别为大家准备了战勒索攻略:
首先检查系统是否开启Server服务
打开开始按钮,点击运行,输入cmd,点击确定
输入命令:netstat–an回车(注:netstat与-an之间有一个空格)
查看结果中是否还有端口
如果发现端口开放,则需要关闭Server服务,以win7系统为例,操作步骤如下:
点击开始按钮,在搜索框中输入cmd,右键点击菜单上面出现的cmd图表,选择以管理员身份运行,在出来的cmd窗口中执行“netstopserver”命令,会话框如下:
PS:对于已经感染勒索蠕虫的机器建议隔离处置。
建议加固措施:
1.及时升级操作系统到最新版本;
2.勤做非本地重要文件备份。
3.停止使用WindowsXP、WindowsServer等微软已不再提供安全更新的操作系统。
参考链接:
转载请注明:http://www.wangguoqiangq.com/sglbmj/6457.html
