全球遭遇“永恒之藍”勒索蠕蟲攻擊

【熱點關注】

全球遭遇“永恒之藍”勒索蠕蟲攻擊

國內高校成重災區

本報訊 記者孫冉冉報道 2017年5月12日起，全球范圍內爆發了基于Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼。100多個國家及國內的高校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

據悉，這是不法分子通過改造此前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件?！坝篮阒{”通過掃描開放445文件共享端口windows電腦甚至電子信息屏，無需用戶進行任何操作，只要開機聯網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。

當系統被該勒索軟件感染后，一是會彈出勒索對話框，采用AES和RSA加密算法加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行文件等類型的文件；二是會將自身復制到系統的每個文件夾下，并重命名為“@WanaDecryptor@.exe”；三是生成隨機IP并發起新的網絡攻擊。

該勒索軟件利用微軟SMB遠程代碼執行漏洞CVE-2017-0144，微軟已在今年3月份發布了該漏洞的補丁。在之前就已經爆發的多次利用445端口進行蠕蟲攻擊的事件中，部分運營商在主干網絡上已經封禁了445端口，但是教育網以及大量企業內網并沒有此限制，而且并未及時安裝補丁，仍然存在大量暴露445端口且存在漏洞的電腦，導致了這次“永恒之藍”勒索蠕蟲的泛濫。據悉，目前全國范圍內有數十所高校的校園網感染了這一病毒，而正值畢業季，許多學生的畢業論文和設計都因感染病毒而被鎖死。

阿里云安全專家分析，此次勒索事件在校園網傳播速度之快，影響面之大，主要原因是當前大部分學?；臼且粋€大的內網互通的局域網，不同的業務未劃分安全區域。例如：學生管理系統、教務系統等都可以通過任何一臺連入的設備訪問，

同時，實驗室、多媒體教室、機器IP分配多為公網IP，如果學校未做相關的權限限制，所有機器直接暴露在外面。

騰訊反病毒實驗室認為，各大高校通常接入的網絡是為教育、科研和國際學術交流服務的教育科研網，此骨干網出于學術目的，大多沒有對445端口做防范處理，這是導致這次高校成為重災區的原因之一。

不僅教育網被攻擊，公安局域網絡也沒能逃過一劫。蘇州地區目前已經無法辦理車輛檢測、上牌照等業務，響水地區出入境辦理也需要暫緩。據新浪科技報道，除了教育網、校園網以外，這種病毒的影響范圍疑似在逐漸擴大。微博上一些用戶開始反饋，13日，北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。

鑒于這個勒索病毒擴散的越來越廣泛，微軟也是公開回應，他們為新的惡意軟件Rensom添加了檢測和保護：Win32.WannaCrypt，同時還正在與客戶合作提供額外的幫助。為了打消更多用戶的顧慮，現在微軟再次發出公告，如果用戶使用的是全新版本的Windows 10系統，并開啟Windows Defender的話，那么就會免疫這些勒索病毒。

國際計算機病毒應急處理中心（以下簡稱“病毒應急中心”）13日發布該勒索軟件的緊急預警。病毒應急中心指出，由于該勒索軟件的加密強度大，目前被加密的文件還無法解密恢復。針對遭受攻擊的情況，建議采取如下措施：一是在無法判斷是否感染該勒索軟件的情況下，立即斷網，檢查電腦主機，修復MS17-010漏洞、關閉445端口。二是對已經感染勒索軟件攻擊的機器建議立即隔離處置，防止感染范圍進一步擴大。三是出于基于權限最小化的安全實踐，建議用戶關閉并非必需使用的Server服務。四是及時備份重要業務系統數據，針對重要業務終端進行系統鏡像，制作足夠的系統恢復盤或者設備進行替換。五是指出包括亞信、安天、360、北信源四家公司已經研發出針對該病毒的最新專殺工具并給出專殺下載地址。

14日，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關于WannaCry勒索蠕蟲出現變種及處置工作建議的通知》，指出有關部門監測發現，WannaCry 勒索蠕蟲出現了變種：WannaCry 2.0，該變種的傳播速度可能會更快，該變種的有關處置方法與之前版本相同，建議立即進行關注和處置。

延伸閱讀

WannaCry 2.0處置工作建議

本報訊 5月14日，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關于WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》指出，有關部門監測發現，WannaCry 勒索蠕蟲出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch，不能通過注冊某個域名來關閉變種勒索蠕蟲的傳播。建議立即進行關注和處置并同時給出處置意見。

一是立即組織內網檢測，查找所有開放445 SMB服務端口的終端和服務器，一旦發現中毒機器，立即斷網處置，目前看來對硬盤格式化可清除病毒。

二是目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞，請盡快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對于XP、2003等微軟已不再提供安全更新的機器，建議升級操作系統版本，或關閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。

三是一旦發現中毒機器，立即斷網。

四是啟用并打開“Windows防火墻”，進入“高級設置”，在入站規則里禁用“文件和打印機共享”相關規則。關閉UDP135、445、137、138、139端口，關閉網絡文件共享。

五是嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。

六是盡快備份自己電腦中的重要文件資料到存儲設備上。

七是及時更新操作系統和應用程序到最新的版本。

八是加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。九、安裝正版操作系統、Office軟件等。

（孫冉冉）

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。