高能警惕 電(diàn)腦病(bìng)毒全球性(xìng)爆發
2017-05-15
事件概要
5月12日晚,國內有不少高校學生反映電腦被惡意的病毒攻擊,文檔被加密。源頭來自(zì)暗網,攻擊具備兼容性、多語言支持(chí),多個行業受到影響,國內的ATM機、火車站、自助終端、郵政、醫院、政府辦事終端、視頻監控都可能遭受(shòu)攻擊。據報道,全國多地的中石油加油站無法進行網絡支付,隻能進行(háng)現(xiàn)金支付。中石油有(yǒu)關負責人表示,懷疑受到病毒攻擊(jī),具體情況還在核查。而(ér)截至目前,一些公安(ān)係統已經遭到(dào)入侵。中招係統文檔、圖片資料(liào)等常見文件都會被病毒加密,然後向用戶勒高額(é)比特幣贖金(jīn),並且病(bìng)毒使用RSA非對稱算法,沒有私鑰就無法解密文件。
中招現象主要(yào)有兩點:
中招現象主要(yào)有兩點:
1、中招用戶(hù)係(xì)統彈出比(bǐ)特幣對話框;
2、用戶文件被加密,後綴為“wncry”。
軟件利用美國(guó)安全局黑客武器庫(kù)泄露的ETERNALBLUE(永恒之藍)發起病毒攻擊。遠程利用代碼和4月14日黑客(kè)組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組(zǔ)織)使(shǐ)用黑客工具包有(yǒu)關。其中(zhōng)ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器,實現遠程命令執(zhí)行。 蠕蟲軟件(jiàn)正是利用服務器漏洞,通過2008 R2滲透到未打補丁的Windows XP版本計算機中,實現大規模迅速傳播。 一旦你所在組(zǔ)織中一台計算機受攻擊,蠕蟲會迅速尋找其他有漏洞的電腦並發起攻(gōng)擊。
處置措施
第1步(bù):立即修複漏洞、升級補丁
請(qǐng)盡(jìn)快為電腦安裝MS17-010漏洞補丁,網址https://technet.microsoft.com/zh-cn/library/security/MS17-010,對於XP、2003等微軟已(yǐ)不再提供安全更新的機器,安(ān)裝XP和部分服務器(qì)版WindowsServer2003特別安(ān)全補丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能補丁升級,請采用以下緊急處理措施:關閉445、137、138、139端口,關閉網絡共(gòng)享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能補丁升級,請采用以下緊急處理措施:關閉445、137、138、139端口,關閉網絡共(gòng)享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
第2步:軟件自檢、查殺(shā)
建議直接升級殺毒軟件病毒庫進行檢測及查殺,其他(tā)輔助檢測方法勒蠕蟲終端自檢查殺工具下載地(dì)址:http://www.antiy.com/response/wannacry/ATScanner.zip
第3步:如已中招,文件恢複嚐試
如果已經不(bú)幸中招,可使用360勒蠕蟲病毒文件恢複工具,嚐試進(jìn)行文件恢複。工具下載(zǎi)地址:https://dl.360safe.com/recovery/RansomRecovery.exe
