本帖最后由 吾名百事通 于 2017-5-13 16:51 編輯
近日國內(nèi)多所院出現(xiàn)勒索軟件感染情況,磁盤文件會被病毒加密。近過初步調(diào)查,此類勒索病毒傳播擴(kuò)散利用了基于445端口的SMB漏洞,用戶重要信息被加密,只有支付高額的比特幣贖金才能解密恢復(fù)文件。根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào),此次安全事件是不法分子利用NSA黑客武器庫泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊。 校園網(wǎng)用戶: 近期國內(nèi)多所院校(包括山東大學(xué)、太原理工大學(xué)等部分單位)出現(xiàn)ONION勒索軟件感染情況,磁盤文件會被病毒加密為.onion后綴,該勒索軟件是此前活躍的勒索軟件Wallet的一類變種,運(yùn)用了高強(qiáng)度的加密算法難以破解,被攻擊者除了支付高額贖金外,往往沒有其他辦法解密文件,只有支付高額贖金才能解密恢復(fù)文件,對學(xué)習(xí)資料和個(gè)人數(shù)據(jù)造成嚴(yán)重?fù)p失。 根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào),這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊事件。 從我校被感染機(jī)器的情況來看,一是操作系統(tǒng)、Office軟件等沒有采用正版軟件,且漏洞、補(bǔ)丁更新不及時(shí);二是不常用端口沒有封閉;三是個(gè)人網(wǎng)絡(luò)安全意識淡漠,沒有定期備份文檔的習(xí)慣。在此提醒廣大校園網(wǎng)用戶: 1. 開機(jī)前先拔掉網(wǎng)線斷開網(wǎng)絡(luò),啟動(dòng)window后并關(guān)閉445、135、137、138、139端口,然后再接入網(wǎng)絡(luò)。操作方法如下:啟用并打開“Windows防火墻”,進(jìn)入“高級設(shè)置”,在入站規(guī)則里關(guān)閉和禁用所有的“文件和打印機(jī)共享”規(guī)則。 3. 安裝正版操作系統(tǒng)、Office軟件等,并將windows升級功能設(shè)置為自動(dòng)升級安裝。 4. 強(qiáng)化網(wǎng)絡(luò)安全意識,不明鏈接不要點(diǎn)擊,不明文件不要下載,不明郵件不要打開,不要亂用U盤。 5. 盡快(今后定期)備份自己電腦中的重要文件資料到移動(dòng)硬盤/U盤/網(wǎng)盤上。
5月12日晚8點(diǎn),多所高校同學(xué)反映電腦中病毒,感染后設(shè)備上的所有文件都將會被加密,壁紙被篡改,并且在桌面上出現(xiàn)勒索窗口,攻擊者聲稱用戶需要支付高額比特幣才可解鎖。 目前世界范圍內(nèi)各大高校、企業(yè)、政府機(jī)構(gòu)紛紛中招,攻擊者不需用戶進(jìn)行任何操作即可對你的核心數(shù)據(jù)資產(chǎn)進(jìn)行加密并高額勒索。
相關(guān)防御方案:
防御方案1
在系統(tǒng)層做以下操作;打開系統(tǒng)自動(dòng)更新,并檢測更新最新補(bǔ)丁;開啟系統(tǒng)防火墻;利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行訪問
微軟MS17-010補(bǔ)丁:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
防御方案2
建議電腦用戶使用 360NSA武器庫免疫工具 (360“NSA武器庫免疫工具”可以掃描系統(tǒng)環(huán)境,精準(zhǔn)檢測出NSA武器庫使用的漏洞是否已經(jīng)修復(fù),并提示用戶安裝相應(yīng)的補(bǔ)丁。針對XP、2003等無補(bǔ)丁的系統(tǒng)版本用戶,防御工具能夠幫助用戶關(guān)閉存在高危風(fēng)險(xiǎn)的服務(wù),從而對NSA黑客武器攻擊的系統(tǒng)漏洞徹底“免疫”。)
下載地址: http://dl.360safe.com/nsa/nsatool.exe
簡易防御方案
按下列指示操作,運(yùn)行后文件將會阻止對445端口的訪問。(病毒通過該445端口進(jìn)行傳播)
1) Win7、Win8、Win10的處理流程
下載地址:
![]() win7.bat.zip
解壓文件后,以管理員權(quán)限運(yùn)行該.bat文件(該文件會自動(dòng)打開防火墻,并屏蔽對445端口的訪問)
![]()
2)XP臨時(shí)方案
下載地址:
![]() xp.bat.zip
解壓后運(yùn)行,運(yùn)行時(shí)選擇Y,顯示NetBios over Tcpip服務(wù)已成功停止,表示成功。
![]()
針對此次攻擊的解決建議:
1. 如果還未感染的用戶,可以立即用U盤或者各類網(wǎng)盤將重要資料進(jìn)行備份; 2. 察覺到自己電腦有相似癥狀的立即斷網(wǎng)關(guān)機(jī),而且不要點(diǎn)開任何后綴名奇怪的文件,否則將開啟倒計(jì)時(shí)(病毒同時(shí)還在后臺加密你的文件)。 3. 不要打開陌生文件,包括但不限于來自郵件、聊天軟件、網(wǎng)絡(luò)下載的exe可執(zhí)行文件或奇怪后綴的文件(有些狡猾的病毒偽裝成常見文件的圖標(biāo),比如PDF或Word,卻依然是exe后綴,比如 .pdf.exe)。 4. 高校教育網(wǎng)用戶請關(guān)閉Windows系統(tǒng)的445端口,具體方法如下:(打開控制面板--網(wǎng)絡(luò)和共享中心--更改適配器設(shè)置--右鍵點(diǎn)擊正在使用的網(wǎng)卡,然后點(diǎn)擊屬性--取消勾選Microsoft網(wǎng)絡(luò)文件和打印機(jī)共享--確定--重啟系統(tǒng)。 5. 裸奔用戶請光速裝備殺毒軟件,比如各種殺毒軟件、X訊電腦管家、X60安全衛(wèi)士等,先全盤掃描檢測漏洞,然后再打開下載防護(hù),強(qiáng)制掃描所有下載的文件。 6. 微軟用戶及時(shí)更新補(bǔ)丁(win10自帶的Windows defender免疫此病毒)。 7. 已經(jīng)中招的難友們,千萬不要試圖和黑客交易,首先比特幣交易風(fēng)險(xiǎn)就極大,執(zhí)法也是國際性難題,在幾十個(gè)小時(shí)內(nèi)急急忙忙交易極容易被坑,竹籃打水一場空,數(shù)據(jù)也不能及時(shí)取回。第一步就是有備份的盡量在殺完毒后恢復(fù)備份,系統(tǒng)建立了還原點(diǎn)的也盡量使用還原;第二步,下載相關(guān)文件解鎖工具。 8. 可以嘗試習(xí)慣著去云端寫作或記筆記,比如有道云筆記、印象筆記、onedrive等,實(shí)時(shí)備份,寫完再備一份到本地。 9. 備份!備份!!備份!!!
| 
發(fā)表于 2017-5-13 15:37
收藏
分享
支持
反對
樓主
