關(guān)于近日大量學(xué)校電腦感染勒索病毒的提示
中國高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組
5月12日,安全工作組接到多所高校報(bào)告�����,反饋大量學(xué)校電腦感染勒索病毒����,重要文件被加密,類似下圖所示���。
經(jīng)過初步調(diào)查�����,此類勒索病毒利用了基于445端口傳播擴(kuò)散的SMB漏洞�����,部分學(xué)校感染臺(tái)數(shù)較多�,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復(fù)文件�,損失嚴(yán)重。遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用黑客工具包有關(guān)��。其中的ETERNALBLUE模塊是SMB 漏洞利用程序��,可以攻擊開放了 445 端口的 Windows 機(jī)器����,實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補(bǔ)丁�,修復(fù)了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上廣泛流傳���,除了捆綁勒索病毒���,還發(fā)現(xiàn)有植入遠(yuǎn)程控制木馬等其他多種遠(yuǎn)程利用方式。
根據(jù)360公司的統(tǒng)計(jì)�����,目前國內(nèi)平均每天有不低于5000臺(tái)機(jī)器遭到基于ETERNALBLUE的遠(yuǎn)程攻擊��,并且攻擊規(guī)模還有進(jìn)一步擴(kuò)大趨勢(shì)�����。
此次利用的SMB漏洞影響以下未自動(dòng)更新的操作系統(tǒng):
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
個(gè)人預(yù)防措施:
1.未升級(jí)操作系統(tǒng)的處理方式(不推薦,臨時(shí)緩解):
啟用并打開“Windows防火墻”����,進(jìn)入“高級(jí)設(shè)置”�����,在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則�。
2.升級(jí)操作系統(tǒng)的處理方式(推薦):
建議廣大師生使用自動(dòng)更新升級(jí)到Windows的最新版本。
3. 360提供的 專用防護(hù)工具
http://dl.360safe.com/nsa/nsatool.exe
學(xué)校緩解措施:
1.在邊界出口交換路由設(shè)備禁止外網(wǎng)對(duì)校園網(wǎng)135/137/139/445端口的連接���;
2.在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接��。
建議加固措施:
1.及時(shí)升級(jí)操作系統(tǒng)到最新版本����;
2.勤做重要文件非本地備份�;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)����。
參考鏈接:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
https://github.com/x0rz/EQGRP_Lost_in_Translation/
學(xué)院地址:海南省文昌市教育路178號(hào)
郵編:571321
