ONION勒索軟體病毒攻擊多所高校，手把手教你如何防範

【彭湃科技】5月12日晚20點左右，國內部分高校學生反映電腦被病毒攻擊，文檔被加密，攻擊者稱需支付比特幣解鎖。

攻擊者利用Windows系統默認開放的445埠在高校校園網內進行傳播，不需要用戶進行任何操作即可進行感染。

感染後設備上的所有文件都將會被加密，一旦被加密即使支付也不一定能夠獲得解密密碼。

據悉，「勒索」病毒是全國性的，疑似通過校園網傳播，十分迅速。

請大家嚴加防範，立刻關閉445埠並儘快升級系統補丁，做好防護措施。

漏洞信息

這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的蠕蟲病毒攻擊傳播勒索惡意事件。

惡意代碼會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網絡上封禁了445埠，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。

處置建議

一、確認影響範圍

掃描內網，發現所有開放445 SMB服務埠的終端和伺服器，對於Win7及以上版本的系統確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。

Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務就受影響。

二、應急處置方法

⚫網絡層面

目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫，建議網絡管理員在網絡邊界的防火牆上阻斷445埠的訪問，如果邊界上有IPS和360天堤智慧防火牆之類的設備，請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷，直到確認網內的電腦已經安裝了MS07-010補丁或關閉了Server服務。

終端層面

暫時關閉Server服務。

檢查系統是否開啟Server服務：

1、打開 開始 按鈕，點擊 運行，輸入cmd，點擊確定

2、輸入命令：netstat -an 回車

3、查看結果中是否還有445埠

如果發現445埠開放，需要關閉Server服務，以Win7系統為例，操作步驟如下：

點擊 開始 按鈕，在搜索框中輸入 cmd ，右鍵點擊菜單上面出現的cmd圖標，選擇 以管理員身份運行 ，在出來的 cmd 窗口中執行 「net stop server」命令，會話如下圖：

感染處理

對於已經感染勒索蠕蟲的機器建議隔離處置。

Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

2、選擇啟動防火牆，並點擊確定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇埠，下一步

6、特定本地埠，輸入445，下一步

7、選擇阻止連接，下一步

8、配置文件，全選，下一步

9、名稱，可以任意輸入，完成即可。

XP系統的處理流程

1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用

2、點擊開始，運行，輸入cmd，確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

3、由於微軟已經不再為XP系統提供系統更新，建議用戶儘快升級到高版本系統。

根治方法

對於Win7及以上版本的作業系統，目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請立即電腦安裝此補丁。

網址為：

https://technet.microsoft.com/zh-ch/library/security/MS17-010

出於基於權限最小化的安全實踐，建議用戶關閉並非必需使用的Server服務。

對於Windows XP、2003等微軟已不再提供安全更新的機器，推薦使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，以避免遭到勒索蠕蟲病毒的侵害。

免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe 。

這些老作業系統的機器建議加入淘汰替換隊列，儘快進行升級。

恢復階段

建議針對重要業務系統立即進行數據備份，針對重要業務終端進行系統鏡像，製作足夠的系統恢復盤或者設備進行替換。