本帖最后由 吾名百事通 于 2017-5-13 16:51 編輯
近日國內多所院出現勒索軟件感染情況,磁盤文件會被病毒加密。近過初步調查,此類勒索病毒傳播擴散利用了基于445端口的SMB漏洞,用戶重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件。根據網絡安全機構通報,此次安全事件是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發起的病毒攻擊。 校園網用戶: 近期國內多所院校(包括山東大學、太原理工大學等部分單位)出現ONION勒索軟件感染情況,磁盤文件會被病毒加密為.onion后綴,該勒索軟件是此前活躍的勒索軟件Wallet的一類變種,運用了高強度的加密算法難以破解,被攻擊者除了支付高額贖金外,往往沒有其他辦法解密文件,只有支付高額贖金才能解密恢復文件,對學習資料和個人數據造成嚴重損失。 根據網絡安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發起的病毒攻擊事件。 從我校被感染機器的情況來看,一是操作系統、Office軟件等沒有采用正版軟件,且漏洞、補丁更新不及時;二是不常用端口沒有封閉;三是個人網絡安全意識淡漠,沒有定期備份文檔的習慣。在此提醒廣大校園網用戶: 1. 開機前先拔掉網線斷開網絡,啟動window后并關閉445、135、137、138、139端口,然后再接入網絡。操作方法如下:啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則里關閉和禁用所有的“文件和打印機共享”規則。 3. 安裝正版操作系統、Office軟件等,并將windows升級功能設置為自動升級安裝。 4. 強化網絡安全意識,不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開,不要亂用U盤。 5. 盡快(今后定期)備份自己電腦中的重要文件資料到移動硬盤/U盤/網盤上。
5月12日晚8點,多所高校同學反映電腦中病毒,感染后設備上的所有文件都將會被加密,壁紙被篡改,并且在桌面上出現勒索窗口,攻擊者聲稱用戶需要支付高額比特幣才可解鎖。 目前世界范圍內各大高校、企業、政府機構紛紛中招,攻擊者不需用戶進行任何操作即可對你的核心數據資產進行加密并高額勒索。
相關防御方案:
防御方案1
在系統層做以下操作;打開系統自動更新,并檢測更新最新補丁;開啟系統防火墻;利用系統防火墻高級設置阻止向445端口進行訪問
微軟MS17-010補丁:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
防御方案2
建議電腦用戶使用 360NSA武器庫免疫工具 (360“NSA武器庫免疫工具”可以掃描系統環境,精準檢測出NSA武器庫使用的漏洞是否已經修復,并提示用戶安裝相應的補丁。針對XP、2003等無補丁的系統版本用戶,防御工具能夠幫助用戶關閉存在高危風險的服務,從而對NSA黑客武器攻擊的系統漏洞徹底“免疫”。)
下載地址: http://dl.360safe.com/nsa/nsatool.exe
簡易防御方案
按下列指示操作,運行后文件將會阻止對445端口的訪問。(病毒通過該445端口進行傳播)
1) Win7、Win8、Win10的處理流程
下載地址:
![]() win7.bat.zip
解壓文件后,以管理員權限運行該.bat文件(該文件會自動打開防火墻,并屏蔽對445端口的訪問)
![]()
2)XP臨時方案
下載地址:
![]() xp.bat.zip
解壓后運行,運行時選擇Y,顯示NetBios over Tcpip服務已成功停止,表示成功。
![]()
針對此次攻擊的解決建議:
1. 如果還未感染的用戶,可以立即用U盤或者各類網盤將重要資料進行備份; 2. 察覺到自己電腦有相似癥狀的立即斷網關機,而且不要點開任何后綴名奇怪的文件,否則將開啟倒計時(病毒同時還在后臺加密你的文件)。 3. 不要打開陌生文件,包括但不限于來自郵件、聊天軟件、網絡下載的exe可執行文件或奇怪后綴的文件(有些狡猾的病毒偽裝成常見文件的圖標,比如PDF或Word,卻依然是exe后綴,比如 .pdf.exe)。 4. 高校教育網用戶請關閉Windows系統的445端口,具體方法如下:(打開控制面板--網絡和共享中心--更改適配器設置--右鍵點擊正在使用的網卡,然后點擊屬性--取消勾選Microsoft網絡文件和打印機共享--確定--重啟系統。 5. 裸奔用戶請光速裝備殺毒軟件,比如各種殺毒軟件、X訊電腦管家、X60安全衛士等,先全盤掃描檢測漏洞,然后再打開下載防護,強制掃描所有下載的文件。 6. 微軟用戶及時更新補丁(win10自帶的Windows defender免疫此病毒)。 7. 已經中招的難友們,千萬不要試圖和黑客交易,首先比特幣交易風險就極大,執法也是國際性難題,在幾十個小時內急急忙忙交易極容易被坑,竹籃打水一場空,數據也不能及時取回。第一步就是有備份的盡量在殺完毒后恢復備份,系統建立了還原點的也盡量使用還原;第二步,下載相關文件解鎖工具。 8. 可以嘗試習慣著去云端寫作或記筆記,比如有道云筆記、印象筆記、onedrive等,實時備份,寫完再備一份到本地。 9. 備份!備份!!備份!!!
| 
發表于 2017-5-13 15:37
收藏
分享
支持
反對
樓主
