關于近日大量學校電腦感染勒索病毒的說明

發布日期: 2017-05-13



原創 2017-05-13 姜開達 安全工作組
       5月12日,安全工作組接到多所高校報告,反映大量學校電腦感染勒索病毒,重要文件被加密,類似下圖所示。

經過初步調查,此類勒索病毒傳播擴散利用了基于445端口的SMB漏洞,部分學校感染臺數較多,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件,損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的EquationGroup(方程式組織)使用黑客工具包有關。其中的ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器,實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁,修復了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳,除了捆綁勒索病毒,還發現有植入遠程控制木馬等其他多種遠程利用方式。
根據360公司的統計,目前國內平均每天有不低于5000臺機器遭到基于ETERNALBLUE的遠程攻擊,并且攻擊規模還在迅速擴大。
       此次利用的SMB漏洞影響以下未自動更新的操作系統:
       Windows XP/Windows 2000/Windows 2003
       Windows Vista/Windows Server 2008/WindowsServer 2008 R2
       Windows 7/Windows 8/Windows 10
       Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

    個人預防措施:
  1.未升級操作系統的處理方式(不推薦,僅能臨時緩解):
啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則里禁用“文件和打印機共享”相關規則。
  2.升級操作系統的處理方式(推薦):
建議廣大師生使用自動更新升級到Windows的最新版本。

    學校緩解措施:
1.在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接;
2.在校園網絡核心主干交換路由設備禁止135/137/139/445端口的連接。

    建議加固措施:
1.及時升級操作系統到最新版本;
2.勤做重要文件非本地備份;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。

    參考鏈接:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
https://github.com/x0rz/EQGRP_Lost_in_Translation/


必威官网