5月13日消息,昨日晚間,一款電腦勒索病毒在全球爆發,波及99個國家及地區。病毒將電腦鎖定,勒索價值300美元(約合2070元人民幣)的比特幣才能解鎖。在中國地區,校園網成了主要的受害者。對此360表示,此次校園網勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的。445端口暴露+沒安裝補丁導致電腦被攻擊。
360稱,“永恒之藍”可遠程攻擊Windows的445端口(文件共享),如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,“永恒之藍”就能在電腦里執行任意代碼,植入勒索病毒等惡意程序。
由于國內曾多次出現利用445端口傳播的蠕蟲病毒,部分運營商對個人用戶封掉了445端口。但是教育網并無此限制,存在大量暴露著445端口的機器,因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季,勒索病毒已造成一些應屆畢業生的論文被加密篡改,直接影響到畢業答辯。
360針對校園網勒索病毒事件的監測數據顯示,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,并在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。
360表示,針對NSA黑客武器利用的Windows系統漏洞,微軟在今年3月已發布補丁修復。對XP、2003等已經停止更新的系統,免疫工具可以關閉漏洞利用的端口,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。
而騰訊電腦管家表示,針對該病毒的補丁,在3月份就已經發布,建議開啟實時攔截病毒,如果還未選擇修復漏洞,請盡快使用“漏洞修復”功能進行掃描修復。
相關閱讀:
關于近日大量學校電腦感染勒索病毒的說明
姜開達/中國高等教育學會教育信息化分會網絡信息安全工作組
5月12日,中國高等教育學會教育信息化分會網絡信息安全工作組(安全工作組)接到多所高校報告,反映大量學校電腦感染勒索病毒,重要文件被加密,類似下圖所示。
經過初步調查,此類勒索病毒傳播擴散利用了基于445端口的SMB漏洞,部分學校感染臺數較多,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件,損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的EquationGroup(方程式組織)使用黑客工具包有關。其中的ETERNALBLUE模塊是SMB漏洞利用程序,可以攻擊開放了445端口的Windows機器,實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁,修復了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳,除了捆綁勒索病毒,還發現有植入遠程控制木馬等其他多種遠程利用方式。
根據360公司的統計,目前國內平均每天有不低于5000臺機器遭到基于ETERNALBLUE的遠程攻擊,并且攻擊規模還在迅速擴大。
此次利用的SMB漏洞影響以下未自動更新的操作系統:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
個人預防措施:
1.未升級操作系統的處理方式(不推薦,僅能臨時緩解):
啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則里禁用“文件和打印機共享”相關規則。
2.升級操作系統的處理方式(推薦):
建議廣大師生使用自動更新升級到Windows的最新版本。
學校緩解措施:
1.在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接;
2.在校園網絡核心主干交換路由設備禁止135/137/139/445端口的連接。
建議加固措施:
1.及時升級操作系統到最新版本;
2.勤做重要文件非本地備份;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。
京公網安備 11010502049343號