勒索病毒解决方案
一、勒索病毒简介
最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家的Windows电脑受创最重。
和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单纯地攻击电脑的软硬件)而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。
黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。
支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。
病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本,好让全世界每一个中了病毒的人都能看懂付款信息,可见野心之大。
而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿”
程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。
电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。
遇到这种加密级别,目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染,加密了自己电脑上的文件,自己是无论如何没办法把文件解密的。
如果是政府或者公共机构的重要文件被加密,那只能恢复备份文件。
值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放”。大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。
如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。
病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。
二、服务器紧急防范措施
1.立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,
一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微
软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此
补丁,网址为https://https://www.doczj.com/doc/8315699074.html,/zh-cn/library/security/MS17-010;对
于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使
用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端
口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址
https://www.doczj.com/doc/8315699074.html,/nsa/nsatool.exe。
2.一旦发现电脑中毒,立即断网。
3.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁
用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,
关闭网络文件共享。
4.严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
5.尽快备份电脑中的重要文件资料。
6.及时更新操作系统和应用程序到最新的版本。
7.一般情况下数据库服务器升级MS17-010补丁不会对1433端口关闭,
Sqlserver默认使用的是1433端口,有个别情况可能会关闭1433端口,情况不明,请参考第六条
三、工作站防范措施
目前已知的是,Windows 10操作系统只要打开了自动更新,就不会有中毒的风险。而目前国内大量使用的Windows7甚至Windows XP电脑相对比较高危。微软目前已经为所有的Windows系统紧急发布了系统补丁。
另外,像445这样的高危端口,一般的家用电脑也最好关闭掉。
微软的这个紧急补丁的下载地址在这里(或者点击阅读原文):
https://https://www.doczj.com/doc/8315699074.html,/zh-cn/library/security/MS17-010.aspx
如何关闭445端口的详细图文教程在这里:
1. 打开控制面板点击防火墙
2. 点击“高级设置”
3. 先点击“入站规则”,再点击“新建规则”
4. 勾中“端口”,点击“协议与端口”
5. 勾选“特定本地端口”,填写445,点击下一步
6. 点击“阻止链接”,一直下一步,并给规则命名后,就可以了
还是那句话,再好的杀毒软件也不如一个好的安全意识,在这个信息化时代,系统漏洞一个补丁就能瞬间搞定,但人们安全意识缺失这个漏洞,不知道什么时候才能被堵上。
通过分析病毒,可以看到,以下后缀名的文件会被加密:
docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.p ot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.
pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.
tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.a
i.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.s
wf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.p as.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.as
https://www.doczj.com/doc/8315699074.html,y.mml.sxm.otg.odg.uop.st
d.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.
uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
四、360杀毒方案
“勒索病毒”全球爆发,通过蠕虫式传播在企业、校园内网大面积感染,一台中招,一片遭殃!本次“勒索病毒”是在周五晚上爆发,星期一(5月15日)上班的企业将面临重大风险!
360安全卫士能够全面免疫和防御“勒索病毒”,安装360安全卫士的用户,这次基本
不受“勒索病毒”影响。
针对未安装360安全卫士的用户,我们紧急推出360安全卫士【离线救灾版】,可以帮助企业办公电脑应对此次“勒索病毒”的攻击。
应对“勒索病毒”,周一开机操作指南:
一、准备一个U盘或移动硬盘,周一上班前,可以在家里的安全网络环境下,下载
360安全卫士【离线救灾版】下载地址https://www.doczj.com/doc/8315699074.html,/setup_jiuzai.exe
二、到公司后,先拔掉办公电脑的网线,关掉无线网络开关,然后再开机。
三、使用准备好的U盘或移动硬盘插入办公电脑,安装360安全卫士【离线救灾版】
四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行,并检测您的电
脑是否存在漏洞。如您当前系统没有安装漏洞补丁,请您点击【立即修复】
提示:本次的【永恒之蓝】漏洞是利用Windows 系统局域网共享漏洞。如果您的系统本身存在问题(例如是GHOST精简版)可能无法正常安装补丁。出于安全考虑,工具会直接为您【关闭共享所需的网络端口和系统服务】
五、修复漏洞过程中,请您耐心等候,一般需要3~5 分钟。
六、修复成功后,会弹窗提示您。请您【重启电脑】,以便修复操作彻底生效
七、重启电脑后,您可以通过桌面的【勒索病毒救灾】快捷方式再次运行NSA 防御
工具,确保您的系统已经修复完成。
补充说明:针对部分特殊系统(例如GHOST精简系统),由于系统本身被人为的修改导致无法正常安装本次的漏洞修复程序,出于安全考虑,工具会直接为您【关闭共享所需的网络端口和系统服务】
五、返向操作
在已安装好补丁并确认安全,且又必须要打开的端口的情况下,可以进行返向操作,步骤如下:
1. 打开控制面板点击防火墙
2. 点击“高级设置”
3. 先点击“入站规则”,然后选择你新建那条规则。
4. 再点击右则的“禁用规则”。
5. 此时这条规则前面的绿色打沟图形消失。
操作完成后,已关闭的端口就被从新打开。
六、网络防范措施
1.身份鉴别
身份鉴别包括主机和应用两个方面。
主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络窃听;同时应考虑失败处理机制。
2.访问控制
访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合
法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
3.系统审计
系统审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业务系统的运转流程息息相关。能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
4.入侵防范
主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
5.恶意代码防范
病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。
关于做好新型计算机勒索病毒防范工作的紧急通知 全体员工: 由于本次新冠疫情的全球化扩散,导致目前全球各国经济处于增长放缓或停滞衰退的状态。大量企业倒闭,员工失业,由此也催生了勒索病毒相关黑产群体的进一步扩大。 近期,新型勒索病毒大肆传播。最近半个月,仅张家港本地,已发生多起中毒事件。由于无法解密,感染用户只能通过缴纳赎金的方式恢复数据。相关监测显示目前该类型病毒主要通过电子邮件、远程暴力破解、扫描特定的网络服务端口、同时也会通过各种计算机软件漏洞和用户不安全使用计算机和网络的行为进行入侵和传播。为了做好安全防范工作,请全体员工高度重视,做好以下防范措施: 一、及时安装防病毒软件,落实安全防护措施。 公司采购有企业正版杀毒安全软件《火绒安全软件》,各位计算机使用者如发现自己计算机未有安装,请立即与IT管理员联系。 二、加强密码强度,下班及时关闭计算机。 1、计算机登录密码应设置强密码(8位以上,包含大小写字母、数字及特殊字符); 2、必须使用远程登录应用协议的计算机、服务器在设置强密码的同时,还应开启 二次动态口令验证。 3、由于大多数攻击发生在半夜,因此各位员工下班前一定要关闭计算机! 三、强化安全意识,抵制诱惑,规范行为。 各用户要提高用户安全意识,不要点击不明链接,不要下载/打开/安装不明文件,不要点击/打开不明邮件,不要浏览非法网站。 四、及时做好工作资料的备份工作。 各用户应每天/每周将工作资料上传至PLM、文件服务器进行备份和归档工作。 五、疑似中毒的紧急处理办法。 发现计算机异常,应立即断开网络并关机,切勿重启。报IT管理员进行处理。 附则: 一、本通知由行政人事部发布,行政人事部负责解释。 二、请各位员工务必重视,如因个人未遵守管理而造成后续相关损失的,需承担相应 的责任与赔偿。 三、如有任何疑问及事件支持,请联系IT管理员 行政人事部 2020年3月28日
最新勒索软件WannaCrypt病毒感染前后应对措施 针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办? 作者:simeon来源:https://www.doczj.com/doc/8315699074.html,|2017-05-14 23:03 收藏 分享 技术沙龙| 6月30日与多位专家探讨技术高速发展下如何应对运维新挑战! 【https://www.doczj.com/doc/8315699074.html,原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:https://www.doczj.com/doc/8315699074.html,/s/1boBiHNx 一.病毒危害 1.1病毒感染的条件 到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的: 1.Windows7以上操作系统感染几率较高 2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。 3.内网补丁更新不及时 1.2病毒感染的后果 WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:https://www.doczj.com/doc/8315699074.html,/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高 二、WannaCrypt勒索病毒原理分析 WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(https://www.doczj.com/doc/8315699074.html,/learning/detail/3853.html)。 笔者要想说的是病毒感染的三个时间段: 1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): https://www.doczj.com/doc/8315699074.html,; a)如果连接成功,则退出程序 b)连接失败则继续攻击 2.病毒感染中阶段 接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程 3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。
Cryptowall、locky、cerber等勒索病毒 的运行原理及预防杀毒普及贴 勒索病毒概述: 勒索病毒从2014年开始兴起,2015年开始逐步流行,到2016年已经开始波及全球了。黑客勒索的金额估计已经超过4亿。对企业公司造成了巨大损失。美国FBI悬赏300万缉拿比特币敲诈者”木马家族的作者名叫艾维盖尼耶米哈伊洛维奇波格契夫。 从2015年开始,国内陆续发现勒索病毒,到2015年底开始达到高峰,日中病毒数超千台。有很多企业局域网内电脑集体中毒,造成巨大损失。 由于被加密文件都是用的比较高级的加密算法,所以受害者除了付款买回,没有别的办法解密文件。 勒索病毒传播 黑客通过邮件、漏洞或者挂马网站,传播病毒。一但用户点击中毒,病毒便加密客户的文档,然后上传私钥,留下勒索信息,限期付款赎回,否则中毒者的文档将永远无法找回。
勒索病毒图解 1、关于病毒传播方式: 由于现在技术的发展,黑客也开始讲求分工合作。制作病毒跟传播病毒都开始由专门的人士负责,CERBER就是典型,根据最新的病毒样本分析,CERBER附带的一个.json格式的配置文件。通过研究这个文件,我们发现这种特别的勒索软件是可以定制的,黑客自己可以改变赎金的数额大小,定制特定的文件扩展列表,当然还有需要感染国家的黑名单。这表明CERBER本身就是为了卖给二手黑客贩子而设计,量身定制勒索需求服务的。 现在的病毒传播一般黑客都是外包给专门的病毒传播机构,一般通过邮件钓鱼、网站挂马和电脑漏洞传播。 2、关于加密算法: 现在的勒索病毒加密方式一般用的RSA算法和AES算法。 AES算法(英语:Advanced Encryption Standard简写),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一。 RSA算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA 是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 理论上,这2种算法只要超过15位数就基本无法破解,而黑客一般用的是128位,用现在的电脑技术破解的话需要几十万年。这也是黑客之所以嚣张的底气。
勒索病毒防范方法 一、系统补丁更新 从官方下载适配自己电脑操作系统的MS17-010补丁~本压缩包中也会包含。在安装补丁过程中出现“此更新无法适配本系统”问题时~因为电脑操作系统未更新到SP3~请下载sp3补丁将操作系统更新到SP3~然后再更新MS17-010补丁。 二、端口关闭 1、关闭 445、135、137、138、139 端口~关闭网络共享也可以避免中招。方法如下: ,1,运行输入“dcomcnfg” ,2,在“计算机”选项右边~右键单击“我的电脑”~选择“属性”。 ,3,在出现的“我的电脑属性”对话框“默认属性”选项卡中~去掉“在此计算机上启用分布式COM”前的勾。 ,4,选择“默认协议”选项卡~选中“面向连接的TCP/IP”~单击“删除”按钮 2、关闭 135、137、138 端口 在网络邻居上点右键选属性~在新建好的连接上点右键选属性再选择网络选项卡~去掉 Microsoft 网络的文件和打印机共享~和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口 3、关闭 139 端口 139 端口是 NetBIOS Session 端口~用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性~进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的NETBIOS ”~打勾就可关闭 139 端口。
4、关闭 445 端口 ,1,注册表关闭。开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ NetBT\Parameters~新建名为“SMBDeviceEnabled”的DWORD值~并将其设置为 0~则可关闭 445 端口。 ,2,关闭Server服务。检查系统是否开启Server服务: 按“WIN+R”键~打开运行窗口, 输入”services.msc”~回车, 查找service~查看service服务状态~如果开启~请右击属性选择关闭。 ,3,手动关闭445端口。打开开始按钮~点击运行~输入cmd~点击确定,输入命令:netstat -an 回车,查看结果中是否还有445端口,依次输入下面命令:net stop rdr 回车,net stop srv 回车,net stop netbt 回车,再次输入 netstat -ano~成功关闭 445 端口。如果还不有445显示~需要重启电脑就好了。 ,4,配置主机级 ACL 策略封堵 445 端口。通过组策略 IP 安全策略限制Windows 网络共享协议相关端口 开始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略下,在编辑器右边空白处鼠标右键单击,选择“创建IP 安全策略”
企业防勒索病毒安全解决方案 一、方案应用背景 勒索病毒是指:黑客通过锁屏、加密文件等方式劫持用户文件数据,并敲诈用户钱财的恶意软件,利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来,在短时间内大范围传播,给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称,仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一,WannaCry勒索病毒爆发时仅一天时间,国内有近3W机构被攻击,覆盖至全国各地,其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。 时隔一年后的2018年,勒索病毒威胁犹存。据相关机构统计,Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。今年七月,针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击,病毒会将计算机中的数据库文件进行加密,同时还具备二次传播能力,有可能入侵局域网内的其他机器。专家预测,由于利润丰厚、追踪困难等原因,未来各种勒索软件的攻击将会更为频繁,杀伤力也更大。
二、方案应对方法 针对持续爆发的勒索病毒,应当通过构建起从事前到事后全周期、全方位的安全防护体系,帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。 在事前,从传播、加密、扩散三条路径对勒索病毒进行监测,并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测,对未知威胁,采用沙箱检测方式,检测涵盖已知未知高级威胁,检测结果以预警方式发布,建立未知威胁预警体系。 勒索病毒有以下传播方式: 1、通过邮件附件进行传播; 2、通过钓鱼邮件进行群发下载URL传播; 3、企业用户在恶意站点下载病毒文件进行传播;
发生什么情况? 2017年5月12日,一种新的已比特币赎金的方式。勒索病毒“Ransom.CryptXXX (WannaCry)开始广泛传播,影响了大量的企业用户,特别是在欧洲。 WannaCry 是什么样勒索? WannaCry 用已加密数据文件,并要求用户支付$300赎金比特币。赎金明确说明指出,支付金额将三天后增加一倍。如果付款在七天后,加密的文件将被删除。 勒索信息截图(中文) 勒索信息截图(英文) 同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么,以及如何支付赎金
同时WannaCry加密文件具有以下扩展名,并将.WCRY到添加到文件名的结尾: ?.lay6 ?.sqlite3 ?.sqlitedb ?.accdb ?.java ?.class ?.mpeg ?.djvu ?.tiff ?.backup ?.vmdk ?.sldm ?.sldx ?.potm ?.potx ?.ppam ?.ppsx ?.ppsm ?.pptm ?.xltm ?.xltx ?.xlsb ?.xlsm ?.dotx ?.dotm ?.docm ?.docb ?.jpeg ?.onetoc2 ?.vsdx ?.pptx ?.xlsx ?.docx 此勒索软件的传播是利用微软已知SMBv2中的远程代码执行漏洞:MS17-010
使用Symantec防护软件否得到保护,免受威胁? 使用了赛门铁克和诺顿的客户已经检测WannaCry并实施有效的保护。以下检测病毒和漏洞 n病毒 l Ransom.CryptXXX l Trojan.Gen.8!Cloud l Trojan.Gen.2 l Ransom.Wannacry n入侵防御系统 l21179(OS攻击:的Microsoft Windows SMB远程执行代码3) l23737(攻击:下载的Shellcode活动) l30018(OS攻击:MSRPC远程管理接口绑定) l23624(OS攻击:的Microsoft Windows SMB远程执行代码2) l23862(OS攻击:的Microsoft Windows SMB远程执行代码) l30010(OS攻击:的Microsoft Windows SMB RCE CVE-2017-0144) l22534(系统感染:恶意下载活动9) l23875(OS攻击:微软SMB MS17-010披露尝试) l29064(系统感染:Ransom.Ransom32活动) 企业用户应确保安装了最新的Windows安全更新程序,尤其是MS17-010,以防止其扩散。 谁受到影响? 全球有许多组织受到影响,其中大多数在欧洲。
关于应对勒索病毒相关事宜的紧急通知 各研究所、中心、室、厂、站、队、机关及各直属部门: 5月12日晚开始,在国内外网络中陆续出现针对windows 操作系统的勒索病毒,该病毒基于网络途径传播,对计算机文件进行加密破坏,部分服务器和个人计算机收到攻击,部分系统目前不能正常使用。根据** 公司和局信息管理部要求,关闭办公网络及相关服务器,对于各办公室机器,具体安排如下:一、对于未中毒的设备 1、断网。 2、关闭445 端口。(具体操作见附件) 3、按照windows 版本运行相应的补丁。 4、安装NAS免疫工具。 5、使用查杀工具杀毒。 二、对于中毒的设备 1、断网、登记。 2、原则上全盘格式化,重新安装操作系统。 3、关闭445 端口。(具体操作见附件) 4、按照windows 版本运行相应的补丁。(以分发至各所) 5、安装NAS免疫工具。 注:补丁、免疫工具及查杀工具已分发至各所
技术支持电话:7805870
注意:实施之前请拔掉网线。进行如下两步操作:1、关闭445端口,2、打补丁 关闭445端口流程 一、单击开始”一一运行”,输入“regedit ”,单击确定”按钮,打开注册表。 、找到注册表项 HKEY_LOCAL_MACHINE \System\Curre ntCo ntrolSet\Services\NetBT\Parame o ters
paiqeu3eo!Aaag|/\IS… adOMQ # '同 侑》莹邂帥(7)>S C3)g$? 宿)扫苴 ■ (5)18 SMS? ■ ? ㈢則宙捷去翌 (3)串右 讯)曰塞母古金 0)a}QyOMa ⑻g :題 ⑺劇H (5?s&± …0烘蔓 h 的冋 [ 1 9^ ° a IKldOMQ … —— “iOg 仲寅韜孚顶 a sjejaiiiejed… t? '三 501 fl w rn '* Axojdorj rn * “柄补n 由 测裁o + icfeism rj !+ SICBM O 卡 【IP “声w n > 【姮】归;中阻? L + 5w rj 匡 5Ct|qW55LU 厂 + WbdSW 1+ SDcro 却 n :+ S sacejjaim | TTS — mt 电:押i —- umug W\ - 193?N LI
医院大数据安全分析与勒索病毒防护方案
目录 Contents 01医院信息安全现状 02大数据安全分析 03勒索病毒防护 04用户案例
01医院信息安全现状
内蒙古 新疆 甘肃四川 辽宁 陕西河南湖南 山西北京河北山东 江苏 浙江 上海广东 湖北重庆江西 福建 吉林黑龙江 西藏 安徽 金融, 4% 教育, 7% 制造业, 7% 政府机构, 7% 医疗, 25% 对外贸易, 11% 工业企业, 17% 互联网, 16% 其他, 6% 地域分布 行业分布 2019以来全国勒索攻击态势 云南 贵州 广西 青海
由于部分医院信息系统存在安全风险,勒索病毒受利益驱使,依然是危害医院的主要安全风险之一。自去年7月以来,勒索病毒一直处于持续活跃的状态,其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。 ... ... 其中,被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之,以及停止更新的Windows XP。对此报告指出,当前没有及时更新操作系统的医疗机构仍占有一定的比例,这极有可能会为医疗业务带来极大的安全隐患。
以十二生肖作为后缀,“狗”生肖尚未出现 GlobeImposter 勒索病毒家族:2017年出现,2018年8月 份演进为V3.0版本。整体特点如下: 加密方法:采用RSA 和AES 两种加密算法的结合。----无法破解!主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用!解密办法:暂无公开的破解方法。V3.0版本特点如下: 1、将加密文件的后缀改成动物名称+4444的样子。 2、当加密完成后,除了清除远程桌面登录信息,还添加了自删除的功能,让追溯分析难度更高。 为什么勒索病毒总是攻击医院? 成本低、来钱快!
关于防范勒索病毒的紧急通知 校园网用户: 近期网络上开始流传一种被称之为“勒索病毒”的恶意程序,该类程序可能会通过电子邮件附件、Office文档、JS脚本、带毒网址等途径传播。一旦中招,病毒会自动以极高强度的加密方式,加密硬盘上所有Office文档、图像、视频、压缩包等类型的文件,目前全球业界尚未找到有效的技术破解方法,即一旦工作文档被病毒破坏,基本上不可能恢复,这将给单位和个人带来巨大损失。 尤其值得关注的是,由于勒索病毒采取了多种先进的对抗技术,使得病毒的每次感染都会自我变形加密,从而绕过所有杀毒软件的特征追杀,即依赖杀软无法有效对抗勒索病毒。 信息中心特别提醒: 1.不要打开来源不明的电子邮件附件,尤其是带有各种诱惑性语言的电子邮件附 件。即使熟人发送的电子邮件,一旦发现不符合逻辑的、与最近交流对不上号的或其他莫名其妙的内容、添加了不常见的附件等,均应当先通过电话、QQ等其他方式确认,否则不可贸然打开附件。 2.不要点击安全状态不明的网页地址。对于QQ、电子邮件以及网站、论坛等场 合见到的网站地址,如果不能确定其安全性,请切勿点击。对于以一串无意义乱码组成的域名、其他不熟悉的域名,更不要随便点击。 3.禁用自动播放功能。U盘、移动硬盘也是一个重要的病毒传播途径,病毒可能 会通过移动设备的自动播放功能而自动激活、感染。禁止自动播放的步骤: 运行(win+r键)→输入gpedit.msc并回车→计算机配置→管理模板→Windows组件→自动播放策略→关闭自动播放→已启用→全部驱动器→确定。 4.禁用危险文件类型和危险文件。步骤:运行(win+r键)→输入secpol.msc并 回车→软件限制策略→鼠标右键点击,选择“创建软件限制策略”→其他规则→右击,新建路径规则→在路径栏输入:Wscript.exe→确定。重复前述“新建路径规则”操作,但路径栏分别输入Cscript.exe和*.scr,再建立两条路径规则;查看一下当前所有硬盘盘符,确定如果插入U盘或移动硬盘时可能会用到哪些盘符,比如U盘盘符为H:,则再次创建一条路径规则,在路径中输入H:\*.*;如果移动硬盘有多个分区或可能同时使用多只U盘,则以此类推创建更多的盘符规则。这样可有效阻止所有JS脚本以及.SCR 类型的文件被加载,并且阻止移动介质上直接运行任何可执行文件(文档打开不受影响),可极大地提高移动介质的安全性。注意:对于Home版(家庭版)的操作系统,本项创建策略功能无法使用。 5.注重工作文档和个人重要数据的备份。可通过移动磁盘、网盘等方式定期离线 备份重要工作文档;当前紧急、重要的工作除了这些方式外,还可向自己的电子邮箱以附件发送一份电子邮件作为临时备份。万一发生感染勒索病毒的情况,请切勿自行重装系统、尝试打开加密文件等,可第一时间关闭计算机电源并向信息中心寻求帮助,也许能够最大限度挽救工作数据。 特此通知,请广大校园网用户加强防范。 信息化建设与发展中心 2016年4月6日
新型勒索病毒的整体安全检测防护解决方案 一.事件概况 ●行业内网爆发勒索病毒变种 今年2月份起,医院、政府等行业爆发大规模信息勒索病毒感染事件,包括GandCrab V5.2、Globelmposter V3.0等,受影响的系统和数据库文件被加密勒索。黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络,之后通过SMB漏洞攻击、RDP(windows系统远程桌面协议)口令爆破等形式大规模感染整个网络,导致终端、业务系统、数据库等被加密勒索,全国大部分省份相关单位都受到影响。 ●新型变种Globelmposter V3.0 Globelmposter勒索病毒的安全威胁热度一直居高不下。本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富,可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名,采用RSA2048算法加密文件,目前该病毒样本加密的文件暂无解密工具,在被加密的目录下生成HOW_TO_BACK_FILES的txt文件,显示受害者的个人ID 序列号及黑客的联系方式等。 ●新型变种GandCrab V5.2 GandCrab 勒索病毒变种可绕过杀毒软件的检测,通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务(RDP)弱口令等方式在内网进行传播,随机生成后缀名对系统重要数据和文件进行加密,目前暂无加密工具 二.由勒索病毒反思网络安全建设 勒索病毒并非APT攻击,仅仅是病毒攻击行为,并不是不可防御的。并且,微软在17年就已经发布了SMB 相关漏洞的补丁,用户有足够的时间做好预防工作,为什么还有大量用户受影响?并且其中还包括一些行业的与互联网隔离的专网,除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外,主要的原因还有以下几点: 1)大量用户缺乏全过程保护的安全体系 这起事件并非APT攻击或0DAY攻击,大部分用户的安全建设仅仅是在事中堆叠防御设备,缺乏事前风险预知的能力,使其没有提前部署好安全防护手段;在威胁爆发后,又没有持续检测和响应的能力,使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。 2)忽视了内部局域网、专网和数据中心的安全防护 经过这段时间的响应,我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比如专网、内网、数据中心,这些区域过去被用户认为是相对安全的区域,很多客户在这些区域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多,比如U盘等存储介质、比如社会工程学,再或者是与DMZ间接相连的网络都可能成为来源。 3)过于复杂的安全体系,没有发挥应有作用
近日,一种名为「WannaRen」的勒索病毒疯狂传播,不少 Windows 用户纷纷中招,电脑文 件都被加密无法打开,并被勒索高额赎金。 WannaRen病毒,图/网络 虽然该病毒事件已经告一段落,但梳理整个事件,这个病毒的现身、发展、溯源充满着戏剧 性和危险性,防不胜防。 为了帮助大家更好地了解勒索病毒,今天就给大家科普它的可怕之处,以及教大家如何 5 分 钟内做好预防措施。 01 勒索病毒可怕在哪儿? 此次 WannaRen 勒索病毒在清明节时开始疯狂传播,主要是通过用户打开或下载来源不明的 文件实现入侵。 根据安全团队提供的资料,病毒还会在本地同时执行下载挖矿病毒和勒索病毒两个命令,并 且通过「永恒之蓝」漏洞进行横向传播,感染力超强! 据了解,一旦电脑被入侵,病毒就会自动加密电脑的所有文件,想要恢复就必须支付大额赎金,逾期7 天将永远恢复不了,各大杀毒软件完全无计可施。那么这样的病毒影响有多大呢?给大家一个数据参考下:2017 年的「WannaCry」勒索病毒至少让 150个国家、30万台电脑 中招,造成经济损失达 80 亿美元,给社会和民生安全造成严重危机。 2017年强大的 WannaCry 病毒,图/网络 所以即便这次病毒成功化解,大家也一定要提前做好预防工作,尤其是工作中重要的文件, 千万别掉以轻心! 02 什么样的电脑容易感染?
目前 WannaRen 这类勒索病毒只会感染 Windows 电脑桌面操作系统,主要包括 Windows7、Windows10、Windows XP 等等。建议大家及时在 Windows 设备安装系统更新,定期更新厂 商发布的安全修补程序。若没有更新则潜在风险巨大,其他病毒也会趁虚而入。 如果你使用的是Linux 或者macOS 系统则暂时不会感染,但依然建议你及时系统/安全更新,不要打开来源不明的文件。 03 如何提前做好防护工作? 做好上述基础的防护工作后,办公类重要的文档资料也要提前进行同步备份。毕竟勒索病毒 总会加密电脑几乎所有文件。你想想,要是公司重要机密文档被病毒加密,全都丢失了得造 成多大的损失!为了防止被勒索病毒影响,小编推荐使用联想Filez企业网盘,做好预防工作。使用联想Filez企业网盘的三大优势: ①数据不丢失,使用联想Filez企业网盘功能后,文档会加密储存在云端,不再保存到电脑 本地。从根源上杜绝病毒破坏和勒索现象。同时还支持「多维度历史版本」功能,支持200 个文件历史版本的预览、下载及一键恢复。 ②多设备随时随地查看,因为文档存储在云端,所以不管是手机、电脑、笔记本,只要登录 联想Filez企业网盘同一个账号就能查看。一块行走的 U 盘就此诞生。 如果你担心云端的安全性,其实大可不必。我们独创技术防止后台非法重组文件,2048位网 银级证书保护传输安全,安全性上远高于传统的电脑本地存储。 ③多人高效协作,最后一个大优势便是支持多人协作。在联想Filez云端中,文档支持以链 接分享,可自由调整文档权限,他人收到链接后点击即可在线协作。 同时,每一次文档改动,数据都实时保存,实现高效的办公新方式。
美创科技 防勒索解决方案 年初勒索病毒爆发事件,再一次拉起了“防勒索”的警报,美创顺势推出了“诺亚”防勒索系统,向勒索病毒坚决“宣战”! 在以往的黑客攻击案例中,攻击目标主要集中于加密文档、图片等个人数据,但“贪得无厌”的黑客,逐渐将攻击目标转移到了企业,除了常见的企业终端(ATM机、自助加油机等)、业务文档等攻击目标,针对数据库的勒索病毒也开始“大行其道”,成为近来勒索病毒目标的延伸。 美创科技通过对勒索病毒的分析,结合多年数据安全经验积累,推出了防勒索整体解决方案,从文档防勒索、哑终端防勒索、数据中心防勒索、底线防御等多角度构筑安全防线。 l文档防勒索 采用白名单机制,将文档限定为只能由某个应用或者特定的应用修改。在识别应用的特征上,美创“诺亚”防勒索系统采用了多种方式来限定合规程序,包括程序名、程序签名以及安全标签(哈希值)等等,从而防止仿冒程序鱼目混珠。 同样,对于数据库文件,通过“诺亚”防勒索系统,客户可以指定或限定访问数据库文件的数据库程序,并进一步防止其他的数据库程序对数据库文件进行修改。例如,勒索病毒可能会修改数据库文件的后缀名,再利用加密机制进行加密,此时“诺亚”防勒索系统会记录相应行为并进行实时对比,判断进程的真实性,并根据策略进行阻断或放行。
l哑终端防勒索 自助服务终端目前已经成为勒索病毒攻击的主要目标,绝大多数运行微软Windows系统的自助服务终端很少进行更新重启关机等操作。由于微软不再发布支持该系统的补丁更新,因此大量设备都处于缺乏终端防护措施的情况下,一旦被勒索病毒入侵,很容易危及全网,影响巨大。“诺亚”防勒索系统针对自助服务终端独创了堡垒安全模式,在这种模式下,非白名单中的程序都无法运行,会被立刻阻断。 l数据中心防勒索 针对数据中心,美创提供由内而外层层整体防御解决方案,即从文档类型的防御、特定终端的防御、到业务系统层面的整体防御策略。 前面已经从“防勒索”角度,梳理了办公文件、数据库文件、哑终端的防勒索措施。 这里重点提数据库本身,美创数据库防水坝从“内控”入手。数据库防水坝将数据进行分级分类,定义不同的资产集合,同时对管理人员进行三权分立,落实最小权限原则。在企业内部DBA和第三方维护人员在接入数据库时,数据库防水坝系统针对接入数据库的身份进行验证(除账号密码之外,还能够控制时间、终端、IP、数字证书等多因子条件),并对其数据库操作行为进行管控。通过防水坝设定的安全策略,能够设定细致的数据操作权限,对企业数据进行分级分类管理,定义不同的资产集合,实现精细化的访问控制策略。同时,对业务系统层面的访问执行白名单机制管理,重要的数据库表格只允许业务系统进行访问。 l底线防御
2017年勒索病毒网络安全分析报告 2017年5月
目录 一、勒索蠕虫软件袭击网络 (6) 1、国内2.8万家机构被攻陷苏浙粤较严重 (6) 2、黑客利用windows漏洞 (7) 3、中毒后只有“认输”别无它法 (7) 4、与传统黑客不同以比特币为赎 (8) 5、打安全补丁预防勒索软件攻击 (9) 6、国内网络安全厂商提出方案 (9) 二、初始病毒已被阻止WannaCry 2.0已出现 (11) 1、初始病毒“自杀开关”被发现 (11) 2、WannaCry 2.0传播速度更快 (12) 三、网络安全事件频发 (12) 1、维基解密:CIA可入侵用户各种电子设备甚至汽车 (12) 2、涉及美国军方、企业等上千万条员工信息的数据库泄露 (13) 3、美国空军数千份高度机密文件被泄,备份服务器竟无秘钥 (13) 4、上百万已被破解的谷歌Gmail 和雅虎账户在暗网低价出售 (14) 5、黑客在暗网出售中国10亿账户数据:主要来自腾讯、网易、新浪等 (14) 四、网络安全行业增长驱动因素 (15) 1、政策驱动网络安全下游需求 (15) 2、2017年党政机关需求带动 (16) 3、安全事故超预期实际需求超预期 (16) 4、技术更新驱动需求和创投并购 (17) (1)2017前2月已有5家AI网络安全企业被收购 (17) (2)防止未知威胁的Invincea被Sophos收购 (17) (3)UEBA技术的被惠普收购 (18) (4)关键IP用户行为分析的Harvest.ai日被亚马逊收购 (19) (5)值得关注的人工智能与网络安全公司 (20)
五、重新认识网络安全 (21) 1、事件驱动网络安全下一轮繁荣 (21) 2、内外网分开不再安全 (22)
关于应对勒索病毒爆发的紧急通知 5月12号,全球爆发最大规模的勒索病毒网络攻击,攻击者锁定受害者电脑文档,致使受害者必须向攻击者支付费用方可解锁。 为避免病毒感染扩大,保障您的文件安全,信息中心建议用户立即按以下5点安全措施进行操作: 1.请立即拔掉网线,尽快完成第2步操作后,再接上网线进行后续操作;同时,告知您周围未开机的同事,拔掉网线,再按下面步骤操作。 2.开启系统防火墙,控制面板-Windows防火墙-点击“启用Windows防火墙”并勾选下面两个复选框,参见下图设置。 3.更新windows系统补丁 查看windows系统版本,可右键点击“我的电脑”-“属性”查看系统版本,点击对应补丁下载地址,下载后双击运行,按照提示完成安装后务必重启电脑; Winxp sp3 x86补丁下载地址:
https://https://www.doczj.com/doc/8315699074.html,/download/4/1/B/41B4AFF6-C3BC -48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Cu stom-CHS.exe Windows 7 sp1 x64 补丁下载地址: https://www.doczj.com/doc/8315699074.html,/d/msdownload/update/softw are/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4 bac44219e7169812914df3f.msu Win8 x64补丁下载地址: https://www.doczj.com/doc/8315699074.html,/c/msdownload/update/softw are/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844 ed793e0f2be974148520349.msu Win10 x64补丁下载地址: https://www.doczj.com/doc/8315699074.html,/c/msdownload/update/softw are/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb51 2b7a3a51dd0d30592ab02f08.msu 微软补丁信息,可参考: https://https://www.doczj.com/doc/8315699074.html,/zh-cn/library/security/ms17-0 10.aspx 4.请注意定期备份重要数据到移动硬盘。 5.若发现电脑感染了勒索病毒,请立即拔掉网线,并报告当地信息工程部。
勒索病毒解决方案 一、勒索病毒简介 最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家的Windows电脑受创最重。 和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单纯地攻击电脑的软硬件)而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。 黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。 支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。 病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本,好让全世界每一个中了病毒的人都能看懂付款信息,可见野心之大。 而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿” 程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。 电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。 遇到这种加密级别,目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染,加密了自己电脑上的文件,自己是无论如何没办法把文件解密的。如果是政府或者公共机构的重要文件被加密,那只能恢复备份文件。 值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放”。大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。 如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。 病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。 二、服务器紧急防范措施 1.立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器, 一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微软 已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此 补丁,网址为 https://https://www.doczj.com/doc/8315699074.html,/zh-cn/library/security/MS17-010;对于 XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用 360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端 口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址 https://www.doczj.com/doc/8315699074.html,/nsa/nsatool.exe。 2.一旦发现电脑中毒,立即断网。 3.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁
1事件起源 全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。 2危害范围 2.1操作系统 针对微软公司全系列操作系统。 Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server2003、Windows Vista和已关闭自动更新的win10用户 注:以下设备不受影响 安卓手机,iOS设备,MacOS设备,*nix设备、Win10 用户如果已经开启自动更新不受影响。 2.2受影响的文件类型 针对下列扩展名文件均会造成危害: ?.lay6 ?.sqlite3 ?.sqlitedb ?.accdb ?.java ?.class ?.mpeg ?.djvu ?.tiff ?.backup
?.vmdk ?.sldm ?.sldx ?.potm ?.potx ?.ppam ?.ppsx ?.ppsm ?.pptm ?.xltm ?.xltx ?.xlsb ?.xlsm ?.dotx ?.dotm ?.docm ?.docb ?.jpeg ?.onetoc2 ?.vsdx ?.pptx ?.xlsx ?.docx 2.3危害方式 受感染文件将被加密(加密算法为AES128位),并要求用户支付$300 赎金比特币。赎金明确说明指出,支付金额将三天后增加一倍。如果付款在七天后,加密的文件将被删除。 同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么,以及如何支付赎金。
服务器及其内部网络操作指引 致网络管理员 一.序言 本操作指引分为三个步骤展开: 1、隔离受感染主机 2、切断传染途径 3、修复系统隐患 二.隔离受感染服务器主机 如果发现已经有主机被感染,立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认,请优先按照下述第三点和第四点处理。 判断方法:出现下述界面的主机
操作方法: 全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。影响及可能的问题: 业务系统无法对外访问 三.切断病毒传播路径 1、切断内网传播途径 方法: 内网交换机上配置访问控制策略,禁止内网之间的135、137、139、445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。
针对无线网络也需要进行隔离,具体方法建议根据无线产品特性确认方案;我司建议先临时关闭无线访问,待全部终端电脑修复完毕后再开启无线。 影响及可能的问题: 1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。 2)445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法 对外系统服务。例如:打印机、共享文件夹等应用。 2、切断外网传播途径 方法: 下述两种方法根据贵司实际情况选择一种最快的方式执行即可。 1)安全网关设备开启对应防护规则 应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。 2)安全网关通过限制访问端口进行防护 如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。 四.修复或规避系统漏洞方案