小安预警Wannacry勒索软件席卷

北京治湿疹的医院 http://baidianfeng.39.net/a_yqyy/210117/8598816.html
事件回溯

5月12日晚，国内多所高校的教学系统、学生个人计算机被攻击，大量学校电脑感染勒索病毒，重要文件被加密，类似下图所示。

经过初步调查分析，此类勒索病毒传播扩散利用了基于端口的SMB漏洞，部分学校感染台数较多，大量重要信息被加密，只有支付高额的比特币赎金才能解密恢复文件，损失严重。此次远程利用代码和4月14日黑客组织ShadowBrokers（影子经纪人）公布的EquationGroup（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序，可以攻击开放了端口的Windows机器，实现远程命令执行。微软在今年3月份发布的MS17-补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。

据统计，目前国内平均每天有不低于台机器遭到基于ETERNALBLUE的远程攻击，并且攻击规模还在迅速扩大。

此次利用的SMB漏洞影响以下未自动更新的操作系统：

WindowsXP／Windows／Windows

WindowsVista／WindowsServer／WindowsServerR2

Windows7／Windows8／Windows10

WindowsServer／WindowsServerR2／WindowsServer

勒索软件小科普

勒索病毒，是一种新型电脑病毒。主要是通过电子邮件中以附带的已感染文件，用户在恶意站点下载病毒文件以及网页挂马进行传播。

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器，进而上传本机信息并下载加密公钥。然后，利用系统内部的加密处理，是一种不可逆的加密，除了病毒开发者本人，其他人是不可能解密的。加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主，隐蔽性极强，对常规依靠特征检测的安全产品是一个极大的挑战。

对于勒索软件的排查及防护措施

一、排查方法

查看windows系统版本：

检查端口开放情况（是否开放了、、、端口），本机cmd命令netstat–an查看端口监听情况。如：telnet...（其中...表示你要排查的服务器的IP地址，表示端口）

二、防护措施

建议广大电脑用户使用自动更新升级到Windows的最新版本。如果用户暂时不便升级相关系统，可以采取以下临时防护方法：

按照最小化原则开放服务器端口，暂时关闭,,,与等服务端口，且在非必要的情况下关闭端口对应的服务，包括关闭网络共享。

注：若考虑无法直接关闭端口，至少需关闭远程智能卡（此操作的目的是关闭Windows智能卡功能，避免rdp服务被攻击利用）

具体步骤

1、禁止Windows共享，卸载下图两个组件（此操作的目的是禁止端口）。并且实施完毕后，需要重启系统生效，操作前请您根据对业务的影响情况进行评估。

2、禁止netbios（此操作的目的是禁止,端口）

3、关闭远程智能卡（此操作的目的是关闭Windows智能卡功能，避免rdp服务被攻击利用）

勒索软件并不是新鲜事物。但最近其手段更加老练、传播方式更加隐蔽，这就表明勒索软件越发倾向于以意想不到的全新方式盘剥在线运行的个人与单位的信息。临时防护措施虽能暂缓我们受到攻击的可能，但是在生活和工作中不断提高安全意识，加强必要的安全防护手段，才是保障信息安全的长效之举。下面，小安君就给小伙伴们普及一下如何防范勒索软件。

1、制定备份与恢复计划。经常备份您的系统，并且将备份文件离线存储到独立设备。

2、使用专业的电子邮件与网络安全工具（如MDS设备），可以分析电子邮件附件、网页、或文件是否包含恶意软件，可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站。这些工具应该具有沙盒功能，使新的或无法识别的文件可以安全环境中执行和分析。

3、不断对操作系统、设备、以及软件进行补丁和更新。

4、确保您的设备与网络上的反病毒、入侵防护系统、以及反恶意软件工具已经升级到最新版本。

5、在可能的情况下，使用应用程序白名单，以防止非法应用程序下载或运行。

6、将您的网络隔离到安全区，确保某个区域的感染不会轻易扩散到其他区域。

7、建立并实施权限与特权制度，使极少数用户才有可能感染关键应用程序、数据、或服务。

8、建立并实施自带设备安全策略，检查并隔离不符合安全标准(没有安装客户端或反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备。

9、部署鉴定分析工具，可以在攻击过后确认：a)感染来自何处;b)感染已经在您的环境中潜伏多长时间;c)您已经从所有设备移除了感染文件;d)您可以确保感染文件不会重返。

10、更为重要的是加强用户意识培训，告诫员工不要下载文件、点击电子邮件附件、或点击电子邮件中来路不明的网页链接；人是安全链中最薄弱的一环，需要围绕他们制定计划。

信息参考：

转载请注明：http://www.wangguoqiangq.com/sglbwh/7491.html