針對ONION、WNCRY勒索病毒(永恆之藍)攻擊解決方案
文章推薦指數: 80 %
第1章 安全通告
尊敬的客戶:
2017年5月12日起,在國內外網絡中發現爆發基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件。
目前發現的蠕蟲會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
此蠕蟲目前在沒有對445埠進行嚴格訪問控制的教育網內大量傳播,受感染系統被勒索巨額金錢。
該由NSA泄露工具所引發的蠕蟲攻擊事件已經造成非常嚴重的現實危害,與教育網類似的大規模的企業內網也已經面臨此類威脅。
東軟安全監測與響應中心也將持續關注該事件的進展,並第一時間為您更新該事件信息。
前情提要:北京時間2017年4月14日晚,一大批新的NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布,其中包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具。
第2章 漏洞信息
2.1 漏洞描述
近期國內多處高校網絡出現ONION/Wncry勒索軟體感染情況,磁碟文件會被病毒加密為.onion後綴,只有支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。
根據網絡安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的蠕蟲病毒攻擊事件。
惡意代碼會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
由於以前國內多次爆發利用445埠傳播的蠕蟲,部分運營商在主幹網絡上封禁了445埠,但是教育網並沒有此限制,仍然存在大量暴露445埠且存在漏洞的電腦,導致目前蠕蟲的泛濫。
針對NSA黑客武器利用的Windows系統漏洞,微軟在今年3月已發布補丁修復。
但由於Windows XP/Vista/2003等已經停止更新,因此微軟沒有發布相應的補丁程序,您可以使用系統防火牆或第三方工具關閉漏洞利用的埠,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。
如果您的電腦是 Windows 7 /8/8.1 ,請到「控制面板」>「Windows
Update」>「查看更新歷史記錄」,檢查是否已經有以下更新:
三月份安全性更新編號:
Windows 7 : KB4012215
Windows 8.1:KB4012216
四月份安全性更新編號:
Windows 7 : KB4015549
Windows 8.1:KB4015550
五月份安全性更新編號:
Windows 7: KB4019264
Windows 8.1:KB4019215
2.2 風險等級
對此事件的風險評級為:危急。
第3章 處置建議
3.1 確認影響範圍
政府、企業、IDC、教育、醫療網絡等所有開放445 SMB服務埠且沒有及時安裝安全補丁的客戶端和伺服器系統都將面臨此威脅。
3.2 應急處置手段
目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫,東軟強烈建議網絡管理員在網絡邊界的防火牆上阻斷445埠的訪問,如果邊界上有東軟NetEye入侵防禦系統IPS和東軟NetEye防火牆FW之類的設備,請升級設備的檢測規則到最新版本,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。
Step1攻擊應對
可在東軟NetEye防火牆添加阻止相關埠的策略,防範來自外網及安全域之間的攻擊和感染,具體操作如下:
1、登錄防火牆,選擇「防火牆」,點擊「訪問策略」
2、點擊頁面內的「服務」窗體中的「使用下表」,選擇「添加」,彈出窗口添加自定義TCP 445、137、138、139目的埠,完成後點擊「確認」
3、點擊頁面內的「動作」下拉菜單中選擇「拒絕」,完成後點擊「確認」
4、返回訪問控制菜單中查看是否生成策略並生效。
Step2修復漏洞
目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請立即電腦安裝此補丁。
對於Win7以下版本的作業系統,微軟已經不提供安全補丁支持,請儘快按 快速應急處置建議 中的描述處理。
1、升級針對MS17-010的微軟的漏洞補丁,可以採用自動更新或下載更新補丁的方法,補丁更新地址如下:
補丁傳送門:https://technet.microsoft.com/zh-cn/library/security/MS17-010
2、對於 Windows XP、 2003 等微軟已不再提供安全更新的機器,推薦使用 360
「 NSA 武器庫免疫工具」檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,
可以避免遭到勒索軟體等病毒的侵害。
免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe
3、備份系統中的重要文件,XYclouds用戶可使用雲災備服務進行備份。
第4章 技術分析
4.1 整體影響評估
此安全事件影響範圍包括全部開放445埠的系統,影響範圍巨大。
4.2 可受影響區域
企業內網將是受本次攻擊事件影響的重災區。
防範WannaCry勒索病毒 緊急安全預警通告
2017年5月12日起,全球範圍內爆發基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件,用戶只要開...
「永恆之藍」勒索蠕蟲病毒報告及應急處置方案
事件背景:2017年5月12日起,全球範圍內爆發基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件,...
高校為何成勒索病毒重災區?微軟為什麼今天緊急發布XP補丁?
日前,國內多所大學學生反饋稱電腦遭遇敲詐軟體攻擊,攻擊者以中文彈窗的形式要求電腦所有者支付價值不菲比特幣解鎖。這種病毒在國內一些高校的教育網、校園網已經造成了影響,致使許多實驗室數據和畢業設計被...
揭示「永恆之藍」勒索病毒最全真相(附八大安全企業防護方案)
編者按5月12日晚,一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊,目前已知有100多個國家和地區受害,包括醫療系統、快遞公司、石油石化、學校、銀行、警察局等眾多行業受到影響,被攻擊...
防範比特幣勒索病毒的應對方法
尊敬的用戶您好:根據網絡安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機...
紅色警報:勒索蠕蟲病毒預防處理方法及工具(答案全在這裡)
1、關閉危險埠(已製作一鍵關閉批處理)2、更新安全補丁 (已提供各版本作業系統補丁下載)3、安裝殺毒軟體 推薦:微軟殺毒軟體(已提供軟體包及病毒庫升級包)
揭秘|勒索病毒WannaCry一夜「橫掃」全球99國始末
編者按 5月12日晚,一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊,目前已知有99個國家受害,據報英國醫療系統、快遞公司FedEx、俄羅斯第2大電信公司Megafon都是這輪攻擊的...
勒索蠕蟲-WanaCrypt0r防治攻略和事件回顧
====== 2017年5月12日星期五,全球近100個國家(中國、西班牙、義大利、葡萄牙、俄羅斯、烏克蘭)的,多個行業機構的電腦感染名為WannaCry0r的勒索軟體。目前據報導英國醫療、德國...