番禺分局關于計算機“永恒之藍”病毒防控技術處理指引】
1、開機前斷開網線(互聯網計算機如連接無線網絡,須先關閉無線設備)。開機后檢查計算機是否異常,如未發現病毒感染癥狀方按下列步驟操作。如發現已中病毒(如文檔被改名無法打開,或彈出勒索窗口),請勿擅自處理并立即聯系分局科技科。
2、停用445端口。點擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運行”->執行“net stop server”命令。
3、開啟系統防火墻:
win7/win8/win10:控制面板->系統與安全->啟用Windows防火墻->點擊"高級設置"->點擊“入站規則”->選擇"新建規則"->規則類型選擇“端口”->應用于“TCP”協議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規則應用”全部勾選->罪責名稱任意輸入并點擊完成
winxp:控制面板->安全中心->啟用“Windows防火墻”->點擊“開始”->“運行”->輸入“cmd”->依次執行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->升級操作系統版本并進行安全更新
4、用戶可根據需要將此計算機的重要文件數據備份至移動存儲設備。
5、連接網線,以管理員身份運行市局免疫工具。下載地址(分局科技科網站):
ftp://10.41.128.9:2014/SystemWear/virus/1.OnionWormImmune.exe
6、運行360 NSA漏洞修補工具。下載地址(分局科技科網站):
ftp://10.41.128.9:2014/SystemWear/virus/2.nsatool.exe
7、安裝微軟官方補丁。市局已將各版本Windows系統的補丁上傳至廣州公安信息網絡安全專欄,請按需下載安裝:http://10.41.0.243/Soft/ShowSoft.asp?SoftID=28
8、以上為針對公安網的漏洞修補方法,各單位可先將上述所需軟件下載并刻錄成光盤(U盤有交叉感染的風險,近期使用須額外謹慎),再逐一對各臺電腦進行修補。對于視頻專網、政府網、互聯網可參照執行。
特別提示:以上處理措施僅能防止病毒通過網絡方式進行傳播,無法阻止病毒通過移動存儲設備進行傳播。所有,U盤等移動存儲設備禁止在公安網與其他網絡之間交叉使用。
月13日國家網絡與信息安全信息通報中心發布緊急通報,防范全球爆發的Wannacry(永恒之藍)勒索蠕蟲攻擊。
通報稱,“我國部分Windows系列操作系統用戶已經遭到感染。請廣大計算機用戶盡快升級安裝補丁,地址為:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。Windows 2003和XP沒有官方補丁,相關用戶可打開并啟用Windows防火墻,進入“高級設置”,禁用“文件和打印機共享”設置;或啟用個人防火墻關閉445以及135、137、138、139等高風險端口。已感染病毒機器請立即斷網,避免進一步傳播感染。”
5月12日晚上20時左右,全球爆發大規模勒索軟件感染事件,用戶只要開機上網就可被攻擊。五個小時內,包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金(有的需要比特幣)才能解密恢復文件,這場攻擊甚至造成了教學系統癱瘓,包括校園一卡通系統。
目前,“永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的后綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金才能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,折合人民幣分別為5萬多元和2000多元。
安全專家還發現,ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播,形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”,專門選擇高性能服務器挖礦牟利,對普通電腦則會加密文件敲詐錢財,最大化地壓榨受害機器的經濟價值。
因此,該安全事件被多家安全機構風險定級為“危急”。
網絡專家建議做好以下措施:
1、安裝最新的安全補丁,微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞,請盡快安裝此安全補丁。
3、啟用防火墻,關閉135/137/139/445端口,關閉網絡共享服務。
關閉端口參考教程:http://www.antiy.com/response/wannacry.html
為防范此類安全威脅,專家還提出建議如下:
1、做好個人重要數據備份。個人的科研數據、工作文檔、照片等,根據其重要程度,定期備份到移動存儲介質或其他計算機中。
2、養成良好的網絡瀏覽習慣。不要輕易下載和運行未知網頁上的軟件,減少計算機被入侵的可能。
3、注意個人計算機安全維護。自動定期更新系統補丁,安裝常用殺毒軟件和安全軟件,升級到最新病毒庫,并打開其實時監控功能。
4、停止使用微軟官方已經明確聲明不會進行安全漏洞修補的操作系統和辦公軟件。Office文檔中的宏是默認禁止的,在無法確認文檔是安全的情況下,切勿盲目打開宏功能。
5、不要打開來歷不明或可疑的電子郵件和附件。
5月12日晚開始,在國內外網絡中發現爆發基于Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件該病毒基于網絡途徑傳播,表現中病毒計算機/服務器的文件被加密,并出現索要贖金的畫面。
計算機被攻擊界面
病毒是全國性的,疑似通過校園網傳播,十分迅速。
計算機被攻擊后,黑客會向被攻擊者索取價值300美元的比特幣,目前教育及企業網絡為重災區,國內多所高校網絡受到此病毒攻擊。
目前此病毒仍在繼續擴散,一定要注意保護好自己的計算機,畢竟300美元可不是一筆小數目。在此,貴港網警蜀黍建議您可以采取如下措施:
1.發現電腦中病毒建議立即隔離處置;
2.可以關閉網絡出口防火墻、應用系統服務器的135、137、138、139、445端口(病毒傳播端口),修改3389端口為不可長期使用端口,供應商立即做應急準備;
3. 更新Windows補丁,尤其是MS17-010漏洞補丁一定要盡快測試并更新;
4.開展應用系統數據備份工作;
5.升級網絡中已有的如IPS、IDS和AV等設備的特征庫,進行檢測查殺。
延伸閱讀
什么是比特幣?
比特幣是一種虛擬貨幣,不依靠特定機構發行,依據特定算法,通過大量的計算產生。可以購買現實或虛擬物品,也可以兌換成大多數國家的貨幣。
什么是比特幣敲詐病毒?
據百度百科,比特幣敲詐病毒(CTB-Locker)最早在2015年初傳入中國,隨后出現爆發式傳播。該病毒通過遠程加密用戶電腦文件,從而向用戶勒索贖金,用戶只能在支付贖金后才能打開文件。
其最新變種的敲詐金額為3個比特幣,約合人民幣6000余元。該病毒通過偽裝成郵件附件,一旦受害者點擊運行,就會彈出類似“訂單詳情”的英文文檔。這時病毒已經在系統后臺悄悄運行,并將在10分鐘后開始發作。
比特幣敲詐病毒從哪里來?
CTB-Locker是國外最泛濫的病毒家族之一,FBI也已介入調查。但由于此病毒使用匿名網絡和比特幣匿名交易獲取贖金,難以追蹤和定位病毒的始作俑者,目前病毒元兇仍逍遙法外。
據路透社報道,“比特幣敲詐者”木馬家族的作者名叫艾維蓋尼耶·米哈伊洛維奇·波格契夫,是一名俄羅斯黑客,在FBI通緝的十大黑客名單中排名第二。