5月12日晚, 全球爆發感染性勒索病毒🧛,導致重要文件被加密,無法打開👨🏿⚕️👔,類似下圖所示🔷。此類勒索病毒傳播擴散利用了基於windows操作系統445端口的SMB漏洞,受影響的機器包括未更新系統補丁的所有windows操作系統。信息中心第一時間采取防控措施🛶🖖🏿,防範該病毒侵入校園網。並向全校教職員工推送預防策略及相關補丁軟件🚴🏼♀️。信息中心在此也特別提醒廣大師生提高安全意識👌🏻,加強防範,以免引起不必要的損失。
經過初步調查,此類勒索病毒傳播擴散利用了基於445端口的SMB漏洞💠,上海部分高校感染臺數較多🦸♂️,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件,損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用黑客工具包有關💁🏼♀️。其中的ETERNALBLUE模塊是SMB漏洞利用程序,可以攻擊開放了445端口的Windows機器👩🏽🏫,實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁,修復了ETERNALBLUE所利用的SMB漏洞👽。目前基於ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳,除了捆綁勒索病毒👩🏽⚖️,還發現有植入遠程控製木馬等其他多種遠程利用方式⚡️。
根據360公司的統計👩❤️💋👩,目前國內平均每天有不低於5000臺機器遭到基於ETERNALBLUE的遠程攻擊,並且攻擊規模還有進一步擴大趨勢🛋🦹🏼。
此次利用的SMB漏洞影響以下未自動更新的操作系統👩🏻🎨:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
【個人預防措施】
1、電腦重要數據文件請立即做一次備份,到移動存儲介質、網盤或其他計算機👳,並定期做備份操作👨🏽🔬。
2、建議廣大師生將操作系統升級到Windows的最新版本🧑🔧,並自動更新所有補丁🏊🏽♂️,停止使用Windows XP😅、Windows 2003等微軟已不再提供安全更新的操作系統🍰。
3💡、如確因故暫時不能升級操作系統🧚🏻,請立即啟用並打開“Windows防火墻”,進入“高級設置”👩🏻🦽➡️,在入站規則裏禁用“文件和打印機共享”相關規則。強烈建議盡快升級操作系統。
【局域網/網站/服務器管理員緩解措施】
在路由交換設備/防火墻等控製端禁止外網對校園網135/137/139/445端口的連接。
參考鏈接👫🏼🚔:
http://sec.edu-info.edu.cn/359
https://technet.microsoft.com/zh-cn/library/security/MS17-010
https://github.com/x0rz/EQGRP_Lost_in_Translation/
【重要】針對各版本windows系統的升級包及360修復防護軟件下載地址:
http://b.360.cn/other/onionwormfix
【重要】windows各版本的相關補丁包下載地址
https://technet.microsoft.com/zh-cn/library/security/MS17-010
網絡信息中心
2017/5/14