新型「蠕蟲」式勒索軟體攻擊分析及處置工作建議

5月12日20時許，英國、義大利、俄羅斯等全球100多個國家爆發比特幣勒索病毒攻擊，我國教育網用戶的大批高校也出現感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復，目前已有多個行業單位報告感染事件。

▲受到攻擊的電腦介面

鑒於該情況，公安機關立即組織專家進行分析處置，及時發布預警。

有關情況通報如下：

一、初步分析情況

1、此次勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。

「永恆之藍」可遠程攻擊Windows的445埠(文件共享)，如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

▲受到永恆之藍密集攻擊的區域

▲我國傳播情況

2、此次利用的SMB漏洞影響以下未自動更新的作業系統：Windows XP／Windows 2000／Windows 2003/Windows Vista/Windows 7／Windows 8／Windows 10／Windows Server 2008／WindowsServer 2008 R2 Windows Server 2012／Windows Server 2012 R2／Windows Server 2016等全版本作業系統。

▲2014年4月8日，微軟正式對Windows XP系統停止提供安全補丁更新

3、由於國內曾多次出現利用445埠傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445埠。

由於教育網和部分專用網絡並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

▲多所高校發布預警

4、「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

▲目前，比特幣單價在1萬元人民幣上下

5、目前，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

6、ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

▲比特幣挖礦工廠

二、有關處置建議

1、相關單位立即組織內網檢測，查找所有開放445 SMB服務埠的終端和伺服器，一旦發現中毒機器，立即斷網處置，目前看來對硬碟格式化可清除病毒。

2、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；

對於XP、2003等微軟已不再提供安全更新的機器，建議升級作業系統版本，或使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe。

3、一旦發現中毒機器，立即斷網。

4、啟用並打開「Windows防火牆」，進入「高級設置」，在入站規則里禁用「文件和印表機共享」相關規則。

關閉UDP135、445、137、138、139埠，關閉網絡文件共享。

▲40秒學會關閉電腦445埠（來源：梨視頻）

5、嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。

6、儘快備份自己電腦中的重要文件資料到存儲設備上。

7、及時更新作業系統和應用程式到最新的版本。

8、加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

9、安裝正版作業系統、Office軟體等。