關于防范感染勒索蠕蟲病毒的緊急通知

發布日期: 2017-05-13


  

CERNET各會員單位:

  

北京時間2017年5月12日20時起,一款名為WannaCry/Wcry的勒索蠕蟲病毒在全球范圍開始傳播。據有關媒體報道,感染該病毒后的系統重要數據會被黑客加密,并索取一定價值的比特幣后,數據才會被解密。因此該病毒可能給用戶帶來的危害很難估計。

該攻擊代碼利用了Windows文件共享協議中的一個安全漏洞通過TCP 445端口進行攻擊,漏洞影響Windows全線的操作系統,微軟2017年3月的例行補丁(MS17-010)對該漏洞進行了修補。WannaCry/Wcry勒索蠕蟲病毒所利用的漏洞攻擊代碼是黑客組織Shadow Brokers(影子經紀人)在今年4月14日披露的Equation Group(方程式組織)使用的黑客工具包中的一個,攻擊程序名為ETERNALBLUE,國內安全廠商命名為“永恒之藍”。

為防范該病毒對CERNET各用戶單位計算機系統的感染和傳播,盡可能減少其危害和影響,建議CERNET各用戶單位盡快采取相應的具體防范措施建議,見附件。

  

中國教育和科研計算機網CERNET

應急響應組CCERT

  

2017年5月13日

  

附件:

關于 WannaCry/Wcry 勒索蠕蟲病毒的具體防范措施建議

  

  • 個人計算機用戶的預防措施:

1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統的用戶,請啟用系統自帶的更新功能將補丁版本升級到最新版本;

2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統用戶,建議升級操作系統到 Windows 7 及以上,如果因為特殊原因無法升級操作系統版本的,請手動下載補丁程序進行安裝,補丁下載地址:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB401259

3、升級電腦上的殺毒軟件病毒庫到最新版本。

  

  • 校園網預防措施:

在校園網設備上阻斷TCP 135、137、139、445 端口的連接請求,將會有效防止該病毒的傳播,但是同時也阻斷了校內外用戶正常訪問使用Windows系統相應文件共享機制的信息系統和網絡服務。因此,必須謹慎使用下列預付措施:

1、在網絡邊界(如校園網出口)上阻斷 TCP 135、137、139、445 端口的連接請求。這個操作可有效阻斷病毒從外部傳入內部網絡,但無法阻止病毒在內部網絡傳播。

2、在校園網的核心交換設備處阻斷 TCP 135、137、139、445 端口的連接請求,該操作可阻斷病毒在校內的局域網間進行傳播,但無法阻止病毒在局域網內傳播。

3、在局域網子網邊界處阻斷 TCP 135、137、139、445 端口的連接請求,該操作可最大限度保護子網的安全,但是無法阻擋該病毒在同臺交換機下傳播。

  

綜上所述,阻斷網絡的TCP 135、137、139、445 端口連接請求只是臨時措施,盡快完成各類用戶Windows系統軟件的升級或修復漏洞才是防范該病毒的根本措施。


必威官网