微軟反比特幣勒索
Ⅰ 最新電腦病毒比特幣如何預防的最新相關信息
windows xp 、windows7、windows8、windows10如何防範比特病毒的最新相關信息
預防WannaCry和變種UIWIX病毒入侵漏洞理論
臨時關閉埠。Windows用戶可以使用防火牆過濾個人電腦,並且臨時關閉135、137、445埠3389遠程登錄(如果不想關閉3389遠程登錄,至少也是關閉智能卡登錄功能),並注意更新安全產品進行防禦,盡量降低電腦受攻擊的風險。
目前比特幣WannaCry和變種UIWIX勒索病毒防禦辦法
及時更新 Windows已發布的安全補丁。在3月MS17-010漏洞剛被爆出的時候,微軟已經針對Win7、Win10等系統在內提供了安全更新;此次事件爆發後,微軟也迅速對此前尚未提供官方支持的Windows XP等系統發布了特別補丁。windows xp 、windows7、windows8、windows10的用戶只要保證自己電腦的「系統更新」服務開啟,即可!
利用「勒索病毒免疫工具」進行修復。用戶通過其他電腦下載騰訊電腦管家「勒索病毒免疫工具」離線版,並將文件拷貝至安全、無毒的U盤;再將指定電腦在關閉WiFi,拔掉網線,斷網狀態下開機,並盡快備份重要文件;然後通過U盤使用「勒索病毒免疫工具」離線版,進行一鍵修復漏洞;聯網即可正常使用電腦。
利用「NSA武器庫免疫工具」進行修復。用戶通過其他電腦下載360衛士「NSA武器庫免疫工具」離線版,並將文件拷貝至安全、無毒的U盤;再將指定電腦在關閉WiFi,拔掉網線,斷網狀態下開機,並盡快備份重要文件;然後通過U盤使用「勒索病毒免疫工具」離線版,進行一鍵修復漏洞;聯網即可正常使用電腦。
利用「文件恢復工具」進行恢復。已經中了病毒的用戶,可以使用第三方的軟體進行文件恢復,有一定概率恢復您的文檔。
另外,企業網路管理員可使用「管理員助手」檢測電腦設備安防情況。國內反病毒實驗室安全團隊經過技術攻關,於14日晚推出了針對易感的企業客戶推出了一個「管理員助手」診斷工具。企業網路管理員只要下載這一診斷工具,輸入目標電腦的IP或者設備名稱,即可診斷目標電腦是否存在被感染勒索病毒的漏洞;並可在診斷報告的指導下,對尚未打補丁的健康設備及時打補丁、布置防禦。
再次特別提醒建議
Windows用戶近期盡量避免訪問高危網頁,同時若不幸中毒切勿支付贖金,聯系安全廠商協助恢復有價數據,或者可以通過格式化硬碟徹底消滅病毒;
備份個人全部資料到不常用的U盤或者移動硬碟,以免電腦中毒導致資料全部丟失;
由於目前沒有破解比特幣WannaCry和變種UIWIX勒索病毒的辦法,病毒謊稱支付2萬和2千人民幣的比特幣即可解封的說法目前無人證實,建議用戶直接網路搜索「系統119」重新安裝windows系統;
Ⅱ Windows勒索病毒防範方法
Windows勒索病毒防範方法
根據網路安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的“永恆之藍”發起的病毒攻擊事件。“永恆之藍”會掃描開放445文件共享埠的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。
在此提醒廣大用戶:
1、為計算機安裝最新的安全補丁,微軟已發布補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,請盡快安裝此安全補丁,網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對於windows XP、2003等微軟已不再提供安全更新的機器,可使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,可以避免遭到勒索軟體等病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe。
2、關閉445、135、137、138、139埠,關閉網路共享。關閉埠的方法:https://jingyan..com/article/36d6ed1f9574b91bcf488332.html
3、強化網路安全意識:不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開……
4、盡快(今後定期)備份自己電腦中的重要文件資料到移動硬碟、U盤,備份完後離線保存該磁碟。
5、建議仍在使用windows xp,windows 2003操作系統的用戶盡快升級到window 7/windows 10,或windows 2008/2012/2016操作系統。
勒索病毒最新消息:勒索病毒出變種 支付寶微信是否會受到影響?
上周,全球網路安全受到威脅,一場大規模的勒索病毒肆虐全球,根據勒索病毒最新消息,WannaCry勒索病毒已經出現了變種,而與我們息息相關的微信支付寶是否會產生威脅?
上周末,一場大規模的勒索病毒肆虐全球。受害者的電腦會被病毒鎖定,需向黑客支付比特幣之後才能解開。
據悉,本次病毒爆發開始於時間2017年5月12日20時左右,遭受到攻擊的用戶的電腦文件被惡意加密鎖死,電腦跳出頁面提示用戶在交付一定金額的比特幣後文件將得以解鎖正常使用。最嚴重的區域集中在歐洲、美國等地區,英國國家醫療服務體系大規模爆發病毒,此外美國聯邦快遞、西班牙電信公司、俄羅斯內政部等紛紛遭受攻擊。國內校園網數十所高校受到了不同程度的攻擊,中石油、部分省市公安系統均遭受攻擊。最新數據顯示,目前全球已有超99個國家遭受攻擊,超過10萬台電腦被攻擊。
此次名為“想哭”(WannaCry)的病毒,利用了微軟Windows操作系統漏洞。當病毒感染一部計算機後,即開始自動掃描其他也可以被它感染的計算機,且可通過無線網路傳播。法新社14日引述歐洲刑警組織的最新統計說,全球已有超過150個國家的20多萬家機構的電腦中毒,隨著周一上班人們打開電腦,數字可能進一步增加。赫爾辛基網路安全公司F-Secure首席研究員希伯尼稱,這是史上最大規模的勒索病毒爆發。
英國“國家醫療保健系統” 最早受到攻擊,導致全英多家醫院的網站癱瘓,急救、看護等工作被迫停止。此後,俄羅斯內政部、中央銀行、聯邦儲蓄銀行、鐵路公司等均淪陷,全球第五大電信商“西班牙電信集團”、美國聯邦快遞公司、法國雷諾汽車、工廠位於英國東北部桑德蘭的日本日產汽車、印尼雅加達兩家重點醫院等陸續遭殃。
俄羅斯和印度是遭受病毒攻擊最嚴重的兩大災區,中國台灣也是此次遭病毒攻擊的重災區之一,因此緊盯大陸方面的情況。台媒稱,大陸公安網、石油系統、銀行、教育網、校園網及多所大學的計算機都中招。初步統計,共有2.83萬個機構有計算機中招,遍布全國。14日,中國國家網路與信息安全信息通報中心緊急通報,根據監測發現,“想哭”勒索病毒出現變種,該變種傳播速度可能會更快。
根據國家網路與信息安全信息通報中心5月14日下午的最新消息顯示,WannaCry勒索病毒已經出現了變種,與之前版本的不同是,這個變種取消了Kill Switch,不能通過注冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。國家網路與信息安全信息通報中心告誡廣大網民盡快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。
相較於傳統埠,比特幣病毒席捲之下,主要依賴網路進行支付的機構是否受到影響?14日下午,多家網路支付機構向記者表示,目前沒有受到病毒的影響。
支付寶方面表示,支付寶“沒有受到任何影響”。支付寶相關負責人也向記者回應稱,“中石油斷網確切原因我們尚不清楚,但可以確認的是支付寶與中石油的支付介面目前無任何問題,可正常提供支付服務。”
相關人士所稱的“斷網”,源自5月14日,中石油在官網發布公告確認,因受比特幣勒索病毒影響,5月12日晚間,公司所屬部分加油站正常運行受到波及,導致只能使用加油卡和現金進行支付。
上述支付寶相關負責人表示,支付寶目前並沒有受到該病毒任何影響。“支付寶及時發現了此威脅並進行了全面保護。我們會一直為用戶提供最好的安全保護。”
此外,騰訊財付通相關人士當日也向記者表示,“沒有影響”。
該人士向記者提供一份騰訊安全團隊的舉措材料顯示,在防範上,騰訊安全聯合實驗室反病毒實驗室負責人、騰訊電腦管家安全技術專家馬勁松指出,可採取幾種手段。一是臨時關閉埠;同時,及時更新Windows已發布的安全補丁。此外,可利用騰訊電腦管家“勒索病毒免疫工具”進行修復。另外,重要的資料一定要備份。
5月14日下午,記者分別通過支付寶和微信進行一筆消費支付,支付過程中均未出現異常。
另外,將蘋果iTunes作為最大客戶的易聯支付董事長朱啟文對記者表示,目前公司沒有受到影響。在辦公環境,易聯支付不會接受任何從外界發起的連接。
今年6月1日起,《中華人民共和國網路安全法》將正式施行,網路安全已經成為上升到國家發展層面上的戰略方向。據了解,這是我國第一部有關網路安全方面的法律。對廣大市民朋友來講,這部網路領域的基礎性法律與生活最息息相關的地方,莫過於《網路安全法》加強了對個人信息保護,多方位建立起保護個人信息的安全體系。為打擊網路犯罪,提供了重要的.法律保障。
對此,分析人士指出,互聯網大數據時代,“網路安全”第五疆域逐漸成為國家及部門的重要戰場,對於數據的保護將成為未來網路安全發展的重點。2016年11月,《網路安全法》得以頒布,並將於今年6月1日起施行。同時,《密碼法》目前正在徵求意見階段,預計本次關於加密手段的黑客攻擊事件爆發之後,關於密碼的討論和進一步的需求有望強烈爆發。
如何應對這一波的大規模病毒攻擊?美國國土安全部12日針對所有美國人發布緊急公告稱,無論在家、學校還是工作單位都應:升級計算機系統,包括最新的補丁和軟體更新;不要點擊或下載陌生郵件中的網路鏈接或文件;備份你的文件、數據,避免可能的損失。美國國土安全部還稱:“支付贖金不能保證加密文件被解鎖”“它只確保惡意肇事者收到受害者的錢,某些時候還會獲取受害者的銀行信息”。
“攻擊顯示數字化社會的脆弱”,德國新聞電視台14日感慨,“想哭”病毒真的讓世界哭泣,給世界進一步敲響了警鍾。歐洲刑警組織13日在聲明中表示,這波勒索病毒網路攻擊在全球各地釀成嚴重的災情“前所未有”,他們將展開深入調查找出兇手。
Ⅲ 新型PC勒索病毒WannaRen大范圍傳播是怎麼回事
據IT之家4月6日消息,近日網路上出現了一種名為「WannaRen」的新型勒索病毒,與此前的「WannaCry」的行為類似,加密Windows系統中幾乎所有文件,後綴為.WannaRen,贖金為0.05個比特幣。
目前病毒存在兩個變體,區別僅為通過文字或圖片發送勒索信息,語言為繁體中文,比特幣地址相同,基本可確定作者為同一人。
據360社區反饋的消息來看,感染過程中360等殺毒軟體未報毒,第一時間手動查殺後電腦依然被感染。有反饋稱系統安裝了微軟」永恆之藍「補丁後仍會被感染。
(3)微軟反比特幣勒索擴展閱讀
2017年的「WannaCry」(中文名:想哭)的勒索病毒
自2017年5月12日起,一種名為「WannaCry」(中文名:想哭)的勒索病毒開始肆虐全球。據新華社報道,勒索病毒引起的網路襲擊波及150多個國家的10萬多家機構,至少20萬人受害。
這種病毒帶有加密功能,它利用 Windows 在 445 埠的安全漏洞潛入電腦並對多種文件類型加密並添加後綴(.onion)使用戶無法打開,用戶電腦存在文檔被加密的情況,攻擊者以此勒索受害者支付價值300美元的比特幣解鎖。
Ⅳ 威脅升級!新一輪勒索病毒來襲!
提到今年5月剛剛席捲150多個國家的「WannaCry」勒索病毒,很多網友一定還心有餘悸,當時大規模的校園網、區域網用戶都曾不慎中招。
近日,代號為Petya的新一輪勒索病毒襲擊了英國、烏克蘭等多個國家,目前中國國內也已有用戶中招。
來源:騰訊電腦管家截圖
用戶只需在軟體內搜索Petya,或到其官網搜索修復工具即可。
五、提高用戶安全意識
1.限制管理員許可權。
Petya勒索病毒的運行需要管理員許可權,企業網管可以通過嚴格審查限制管理員許可權的方式減少攻擊面,個人用戶可以考慮使用非管理員許可權的普通賬號登陸進行日常操作。
2.關閉系統崩潰重啟。
Petya勒索病毒的「發病」需要系統重啟,因此想辦法避免系統重啟也能有效防禦Petya並爭取漏洞修補或者文件搶救時間。只要系統不重新啟動引導,病毒就沒有機會加密MFT主文件分區表,用戶就有機會備份磁碟中的文件(微軟官方教程)。
3.不要輕易點擊不明附件。
尤其是rtf、doc等格式。
4.備份重要數據。
重要文件進行本地磁碟冷存儲備份,以及雲存儲備份。
5.內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。
來源:人民網(people_rmw)、中國新聞網 (cns2012)、中國青年網、Microsoft官網、360官方微博、中國經濟網等
Ⅳ 首個比特幣勒索病毒製作者落網,這個病毒有多大傷害
一旦電腦中了這種比特幣勒索病毒,電腦上的所有文件數據就會被強行加密,如果不向病毒製作者以比特幣的形式交付“贖金”,那麼這些文件就別想解密找回來了,而即便這次交了贖金解了密了,下次可能還會被“光顧”——也就是說,這種病毒對於“重視數據”的用戶、尤其是企業用戶來說,所能造成的危害之大是難以估量的。
比特幣勒索病毒始一現世,立刻就在全球范圍引起了軒然大波,各大網路安全機構、知名殺毒軟體都開始重視這個問題。
網路上有不少關於“手動設置防火牆來關閉電腦的敏感埠,從而抵禦比特幣勒索病毒”的教程帖子,但是這類方法更適用於比較懂電腦的“非小白人士”,就比如我這樣的三流程序員,這種方法就比較適合我,我連殺毒軟體都用不上。
但是對於普通大眾而言,可能就需要換一個更簡單的方式去應對了。
如今距離比特幣勒索病毒現世已是幾年過去,為了幫助用戶的電腦對抗比特幣勒索病毒攻擊,很多殺毒軟體都已經有了一定的防禦機制,就比如360就推出了一個“反勒索服務”,如果你的電腦在安裝了360的情況下你的數據還被比特幣勒索病毒給加密了,那麼360會為你代償贖金並為你恢復數據。
不懂電腦的用戶可以選擇安裝殺毒軟體來為你防禦這類病毒,但是具體選哪種殺軟,就看個人的愛好了。
Ⅵ 《勒索病毒》是怎麼傳播勒索病毒怎麼回事
在5月12日,有一個勒索病毒攻擊了全球各個國家的電腦,導致很多電腦癱瘓,這里有人不知道這個勒索病毒是什麼回事,怎麼傳播,還有怎麼處理,這里我就來給大家介紹一下。
比特幣黑產鏈?
安全專家發現,ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」,專門選擇高性能伺服器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。
據外媒報道,與勒索病毒相連的比特幣賬戶已經有了不少進賬。由於勒索付費也突顯了比特幣無法被監管部門追蹤的特性。
Ⅶ 誰是勒索軟體真正的攻擊目標
據悉,這個在國內被大家簡稱為「比特幣病毒」的惡意軟體,目前攻陷的國家已經達到99個,並且大型機構、組織是頭號目標。
在英國NHS中招之後,緊接著位於桑德蘭的尼桑造車廠也宣告「淪陷」。西班牙除了最早被黑的通訊巨頭Telefonica,能源公司Iberdrola和燃氣公司Gas Natural也沒能倖免於難。德國乾脆直接被搞得在火車站「示眾」。這個被大家稱之為「比特幣病毒」的勒索蠕蟲,英文大名叫做WannaCry,另外還有倆比較常見的小名,分別是WanaCrypt0r和WCry。
它是今年三月底就已經出現過的一種勒索程序的最新變種,而追根溯源的話是來自於微軟操作系統一個叫做「永恆之藍」(Eternal Blue)的漏洞。美國國家安全局(NSA)曾經根據它開發了一種網路武器,上個月剛剛由於微軟發布了新補丁而被「拋棄」。
三月底那次勒索程序就叫WannaCry,所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說法,所指也是本次爆發的勒索程序。
隨後,微軟在3月發布的補丁編號為MS17-010,結果眾多大企業們和一部分個人用戶沒能及時安裝它,才讓不知道從什麼途徑獲取並改造了NSA網路武器的WannaCry有機可乘。
而且這回的勒索軟體目標並非只有英國NHS,而是遍布全球,總覺得有種「人家不是只針對英國醫療系統」一樣、奇怪的「有人跟我一樣糟就放心」了的潛台詞。雖然最後事實證明確實全球遭殃。
但WannaCry最早從英國NHS開始爆發,真的只是巧合嗎?
對於任何勒索病毒而言,都是最有可能被攻擊的「肥肉」:醫護人員很可能遇到緊急狀況,需要通過電腦系統獲取信息(例如病人記錄、過敏史等)來完成急救任務,這種時候是最有可能被逼無奈支付「贖金」的。
醫療信息與管理系統學會的隱私和安全總監Lee
Kim也解釋說,出於信息儲備過於龐大以及隱私考慮,「在醫療和其他一些行業,我們在處理這些(系統)漏洞方面確實會不那麼及時」。這也是為什麼科技領域普遍認為WannaCry幕後黑手的時機把握得非常巧妙,畢竟微軟更新MS17-010補丁還不到兩個月。從開發並釋放WannaCry人士角度來考慮這個問題,他們其實並不在乎具體要把哪個行業作為攻擊目標,因為他們的邏輯就是任何有利可圖的領域都是「肥肉」,都要上手撈一筆。所以他們確實並不是非要跟英國NHS過不去,只不過是好下手罷了。
個人電腦用戶被攻擊的比例比企業和大型機構低很多,這不僅僅是因為個人電腦打補丁比較方便快捷,也因為這樣攻擊不僅效率不高、獲利的可能也更小。WannaCry的運作機制,根本就是為區域網大規模攻擊而設計的。
這樣看來,前面提到的全世界其他受攻擊大型企業和組織,無論交通、製造、通訊行業,還是國內比較慘烈的學校,確實都是典型存在需要及時從資料庫調取信息的領域。
至於敲詐信息的語言問題,Wired在多方搜集信息後發現,WannaCry其實能以總共27種語言運行並勒索贖金,每一種語言也都相當流利,絕對不是簡單機器翻譯的結果。截至發稿前,WannaCry病毒的發源地都還沒能確認下來。
與其說WannaCry幕後是某種單兵作戰的「黑客」,倒不如說更有可能是招募了多國人手的大型團伙,並且很有可能「醉溫之意不在酒」。畢竟想要簡單撈一筆的人,根本沒有理由做出如此周全的全球性敲詐方案。
WannaCry在隱藏操作者真實身份這方面,提前完成的工作相當縝密。不僅僅在語言系統上聲東擊西,利用比特幣來索取贖金的道理其實也是一樣:杜絕現實貨幣轉賬後被通過匯入賬戶「順藤摸瓜」的可能。而且WannaCry的開發者早就有了一個范圍寬廣、長期作戰的策劃:「在情況好轉之前,它會先變糟糕的——相當糟糕。」(This』ll get worse—a lot worse—before it gets better.)
不過,在晚些時候,一位22歲的英國程序猿小哥就似乎「誤打誤撞」阻止了WannaCry的進一步擴散。
這位小哥在社交網路上的昵稱是MalwareTech(中文意思大概是「惡意軟體技術」,聽起來反而更像個黑客),阻止了WannaCry的進一步全球肆虐後,他在自己的博客上寫下了全過程,甚至英國情報機關GCHQ都在官網轉po了這篇博文。
MalwareTech本來應該在度假中,不過他還是迅速反應,找到了一份WannaCry軟體的樣本。閱讀代碼時,他發現了一個沒有被注冊過的域名,下面的代碼意思就是WannaCry在黑點電腦前的運行中會先試圖訪問該域名,如果訪問失敗就黑掉系統,如果成功則自動退出。
於是MalwareTech就把這個域名給注冊了。
在後來一些中文媒體的報道中,小哥的這一舉動被強調成是「突發奇想」或者「下意識」之舉。正是因為無效域名被注冊,後來被WannaCry感染的電腦都在訪問該域名時得到了肯定的返回值,於是沒有再鎖定信息、展開敲詐。
不過MalwareTech自己解釋卻不是這樣的。他在博客中寫道,注冊這個域名是他作為網路安全工作人員的「標准做法」(standard practice)。過去一年裡,遇到所有這樣短時間訪問量激增的無效域名,他都會將其注冊後扔進前面圖里提到的「天坑」(sinkhole)里,而這個「天坑」的作用就是「捕獲惡意流量」。
WannaCry樣本中域名,在昨天全球范圍攻擊開始後訪問量瞬間激增,此前卻沒有任何被訪跡象。
然而MalwareTech職業靈敏度,讓他開始考慮WannaCry是否會定期或在特請情況下修改程序中的無效域名,因為如果是這樣的話,僅僅注冊他所發現的這個域名就無法阻止未來襲擊。
即使軟體里沒有這樣的部分,開發者依然能夠手動升級WannaCry後再度把它傳播開來,所需要做的也就僅僅是替換一個新的無效域名而已。
還有一種更糟糕的情況:如果WannaCry程序中還有另一層自我保護機制,那麼無效域名的注冊很有可能導致目前所有被感染電腦自動為所有信息加密,無法復原。
為了排除後一種情況,MalwareTech乾脆修改了自己一台電腦的主機文件,讓它無法連接那個已經被注冊了的前無效域名。
電腦成功藍屏了。
MalwareTech寫道:「你可能無法想像一個成年男人在屋裡興奮得跳來跳去,原因竟然是自己電腦被勒索軟體搞失靈了。但我當時確實就那樣了。」測試結果表明,他的「標准做法」確實阻止了WannaCry的進一步傳播。
但是小哥親自警告:「這事沒完」
和某些信息平台熱炒MalwareTech「拯救了全世界」的梗不同,英國《衛報》和《英國電訊報》都在標題里明確告訴大家,小哥自己都已經作出警告:「這事沒完!」
域名被注冊後WannaCry的停止擴散,在他看來只是病毒製造者一個不夠成熟的自我保護機制。對方的真正意圖並非通過域名是否能連接上來「指揮」病毒的運行,而是通過這種方式判斷病毒是否被電腦安全高手捕獲。
一旦WannaCry運行時發現域名有反應,真實反應並不是「好心」地停止攻擊,而是避免自己被扔進「沙盒」(sandbox)安全機制被人全面分析,乾脆退出獲得域名響應的電腦系統。
MalwareTech雖然功不可沒,但他只是阻止了「比特幣病毒」現行樣本的擴散,但開發者也已經意識到了這項弱點,隨時可能用升級版勒索程序卷土重來。
當然,也不排除,此次勒索軟體的最終目的,不是真的想勒索,而是想展現給一些有不法分子查看這個病毒的威力,從而出售這個病毒給他們。如果真的是這樣的話,那麼接下來的日子,網路安全,將會面臨一個很嚴峻的挑戰。
此次勒索軟體威脅的不僅是個人用戶,還有眾多機構和企業。
因此提醒,所有網路用戶今後都應加強安全意識,注意更新安全補丁和使用各種殺毒工具。
Ⅷ 怎麼預防電腦病毒比特幣
5月12日,中國高等教育學會教育信息化分會網路信息安全工作組(安全工作組)接到多所高校報告,反映大量學校電腦感染勒索病毒,重要文件被加密,類似下圖所示。
經過初步調查,此類勒索病毒傳播擴散利用了基於445埠的SMB漏洞,部分學校感染台數較多,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件,損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的EquationGroup(方程式組織)使用黑客工具包有關。其中的ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 埠的 Windows 機器,實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁,修復了ETERNALBLUE所利用的SMB漏洞。目前基於ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳,除了捆綁勒索病毒,還發現有植入遠程式控制制木馬等其他多種遠程利用方式。
根據360公司的統計,目前國內平均每天有不低於5000台機器遭到基於ETERNALBLUE的遠程攻擊,並且攻擊規模還在迅速擴大。
個人預防措施:
1.未升級操作系統的處理方式(不推薦,僅能臨時緩解):
啟用並打開「Windows防火牆」,進入「高級設置」,在入站規則里禁用「文件和列印機共享」相關規則。
2.升級操作系統的處理方式(推薦):
建議廣大師生使用自動更新升級到Windows的最新版本。
學校緩解措施:
1.在邊界出口交換路由設備禁止外網對校園網135/137/139/445埠的連接;
2.在校園網路核心主幹交換路由設備禁止135/137/139/445埠的連接。
建議加固措施:
1.及時升級操作系統到最新版本;
2.勤做重要文件非本地備份;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。