如何應對永恒之藍蠕蟲爆發

来源:本站  发布时间:2017-05-15 09:40


      2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,影响覆盖美国、俄罗斯、整个欧洲等100多个国家,国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
      这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
漏洞描述
      近期国内多处高校网络和企业内网出现WannaCry勒索软件感染情况,磁盘文件会被病毒加密,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
      根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
      由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
風險等級
影響範圍
      扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。
應急處置方法
▲網絡層面
目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫,360企業安全強烈建議網絡管理員在網絡邊界的防火牆上阻斷445端口的訪問,如果邊界上有IPS和360新一代智慧防火牆之類的設備,請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。

▲ 终端层面
暫時關閉Server服務。
檢查系統是否開啓Server服務:
1、打开 开始 按钮,点击运行,输入cmd,点击确定
2、输入命令:netstat -an 回车
3、查看結果中是否還有445端口
 

 感染處理

對于已經感染勒索蠕蟲的機器建議隔離處置。
根治方法
对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务,操作方法见“應急處置方法”部分。
对于Windows XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。這些老操作系統的機器建議加入淘汰替換隊列,盡快進行升級。

好体育|好体育官网|6686sports|好体育世界杯平台|好体育世界杯盘口|好体育直播|好体育美加墨世界杯投注|好体育美加墨世界杯外围|好体育美加墨世界杯盘口,好体育美加墨世界杯赔率|好体育美加墨世界杯足球投注|好体育美加墨世界杯足球盘口|好体育美加墨世界杯足球外围|好体育美加墨世界杯足球赔率|好体育世界杯投注|好体育世界杯盘口|好体育世界杯赔率|好体育世界杯足球盘口|好体育世界杯足球外围盘口|好体育世界杯足球平台