5月13日,母亲节前夕,一觉睡起来,整个虚拟网络世界就开始出现一种名为wannacry的灾害。他们绑架并加密我们的信息,威胁我们交出比特币。界面如下。
什么?全是英文看不懂?这威胁软件还有中文版的哦。
目前已经有多家高校紧急向安全中心求助,喵的你看这勒索软件多恶毒,专门挑假日和毕业论文上交的时间爆发。高校机房一旦有一台被感染,其后果不堪设想。
所以我们要正确认识这勒索软件的本质,和制定防御对策。
此类勒索病毒传播扩散利用了基于445端口的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。此次远程利用代码和4月14日黑客组织Shadow
Brokers(影子经纪人)公布的EquationGroup(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序,可以攻击开放了
445 端口的
Windows机器,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
据统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还在迅速扩大。
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP / Windows 2000 / Windows 2003
Windows Vista / Windows Server 2008 / WindowsServer 2008 R2
Windows 7 /Windows 8 / Windows 10
Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016
个人预防措施:
1.未升级操作系统的处理方式(不推荐,仅能临时缓解):
启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
2.升级操作系统的处理方式(推荐):
建议用户使用自动更新升级到Windows的最新版本。
学校缓解措施:
1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;
2.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
建议加固措施:
1.及时升级操作系统到最新版本;
2.勤做重要文件非本地备份;
3.停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
真*对策!!
上面说的解决方案都很棒棒的,而且很有道理的,但是我们并不是只能被动防御。对该勒索软件的研究也应该同步进行。别一看到这加密的界面就害怕了。
其实这东西挺纸老虎的。
假如不幸遇到,嗯就上面那个框的加密勒索软件。请务必不要做什么其他的骚操作。你只需要:
- 先断个网。
- 开启windows防火墙。
- 在断网状态下运行某些联网程序,如Windows时间同步之类的。
- 同步当然会失败,然后你修改系统时间至1年之后。
- 这个勒索软件……就无响应并且失效了。
经验证,该方法对win7 8 10系统皆有效果。(截止至发文前的勒索软件版本都可用此方法解决。)时间2017.5.13 16:30 如遇险情请及时修复,如不可用请等待我们的最新解决办法。
【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】
作者:柯力士信息安全
来源:51CTO