阿里安全部專家：勒索事件蓄謀已久需提高安全意識

責任編輯：editor005 作者：張俊 |來源：企業(yè)網(wǎng)D1Net 2017-05-13 21:04:52 本文摘自：新浪科技

新浪科技訊 5月13日晚間消息，自本周五起，一起大規(guī)模勒索軟件攻擊迅速波及了全球近100個國家，目前至少7.5萬臺計算機被感染。而在中國，一些高校的校園網(wǎng)用戶、甚至加油站、公安、政府機構等也受到影響。

針對此次勒索軟件攻擊，阿里安全部安全專家孫旭東向新浪科技表示，此次勒索軟件的主角“WannaCry”，利用美國國家安全局黑客武器庫泄露的“永恒之藍”發(fā)起病毒攻擊。而實際上，微軟已經(jīng)在今年三月份發(fā)布了相關漏洞MS17-010的補丁，但由于用戶沒有及時安裝補丁導致該病毒尋找開放端口致使批量感染，最終大規(guī)模擴散。

除了用戶和企業(yè)自身的防范意識不夠之外，孫旭東還表示，從用戶被攻擊后的窗口既有中文也有英文來看，此次攻擊應該蓄謀已久。

而用戶電腦被攻擊之后，勒索軟件將受感染電腦里的文件使用AES-128算法加密，感染后的文件擴展名會變?yōu)椤IWIX，。WNCRY擴展名，需要解密秘鑰才可以還原文件。在文件被加密的同時，會彈出一個名為Wanna Decryptor 2.0的彈出窗口，要求支付價值300美元的比特幣作為贖金，否則文件會被銷毀。

不過他建議中招的用戶也不要急著支付贖金，思考下是否有備用數(shù)據(jù)/快照。即便支付贖金也不一定能解鎖，因為攻擊者也不一定知道是哪臺電腦支付了贖金。

孫旭東表示，此事件暴露了我國用戶甚至企業(yè)、政府機構在網(wǎng)絡安全意識上的不足，雖然此次病毒目前還沒有辦法完全解決，但也可以通過一些措施預防：做好補丁的升級；使用第三方的防病毒軟件，及時進行病毒庫的更新；郵件、即時通信、文件等不確定安全性的前提下不要打開，先進行殺毒或在虛擬機里進行測試，這樣可以避免很大的風險。

以下為阿里安全部方面提供的應急解決辦法：

應急處置方法

1、防火墻屏蔽445端口

2、利用 Windows Update 進行系統(tǒng)更新

3、關閉 SMBv1 服務

適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于客戶端操作系統(tǒng)：

打開“控制面板”，單擊“程序”，然后單擊“打開或關閉 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復選框，然后單擊“確定”以關閉此窗口。重啟系統(tǒng)。

對于服務器操作系統(tǒng)：

打開“服務器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復選框，然后單擊“確定”以關閉此窗口。重啟系統(tǒng)。

適用于運行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注冊表