事件背景:
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,影响覆盖美国、俄罗斯、整个欧洲等100多个国家,国内多个高校校内网、大型企业内网和政府机构专网中招。
漏洞描述:
目前国内多处高校网络、行业、企业内网出现WannaCry勒索软件感染情况,磁盘文件会被病毒加密,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
影响范围:
系统:Windwos系统。
范围:所有开放445服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就会受到影响。
应急处置方法:
网络层面
目前利用漏洞进行攻击传播的蠕虫开始泛滥,数据安全及保护厂商强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问,如果边界上有防火墙设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。
终端层面
暂时关闭Server服务。
检查系统是否开启Server服务:
1、打开开始按钮,点击运行,输入cmd,点击确定;
2、输入命令:netstat -an 回车;
3、查看结果中是否还有445端口。
如果发现445端口开放,需要关闭Server服务,以Win7系统为例,操作步骤如下:
点击开始按钮,在搜索框中输入cmd,右键点击菜单上面出现的cmd图标,选择以管理员身份运行,在出来的 cmd 窗口中执行“net stop server”命令,会话如下图:
数据备份
尽快对重要文档和数据进行多次备份。
感染处理
对于已经感染勒索蠕虫的机器建议隔离处置。
如您已使用联创信安UDsafe SDOP数据保护产品进行过数据备份,可通过SDOP产品将数据恢复到系统被病毒感染前的历史状态,实现秒级数据恢复。
一旦中毒,请您尽快向安全专家咨询,最好不要交赎金,以免造成更大的损失。
如有相关咨询,可拨打联创信安 24小时咨询热线:4008980939。
您也可扫描下方二维码,了解联创信安数据保护产品。
