各网络用户:
2017年5月12日20时左右,全球爆发大规模勒索软件感染事件。据公安部通报,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复,情况严重(见附件1)。为控制病毒感染扩散,确保我校网络不发生网络安全事件,现紧急通知如下:
1、中心已在校园网边界上设置了阻止该勒索病毒传播的安全策略,但由于病毒的传播方式有多种,不排除校内主机会通过其他途径感染该病毒。请全校师生提高安全防范意识,做好电脑中重要文件的离线备份(拷贝到U盘或移动硬盘等),安装防病毒软件并升级到最新的病毒库。
2、Windows XP、Windows 2003、Windows 8、windows vista等微软已经不再提供技术支持(鉴于问题严重性微软紧急发布了针对Windows XP、Windows Server 2003、Windows 8三款系统的修补补丁,编号:KB4012598)。建议各单位用户尽快将操作系统升级到windows7以上版本,服务器系统升级到Windows 2012以上版本并为操作系统打齐补丁。
3、各网络用户请及时开启计算机系统防火墙,以便启到防护作用。
4、特别提醒:不要打开来源不明的电子邮件附件,尤其是带有各种诱惑性语言和电子邮件附件;不要点击安全状态不明的网页地址等。
为防范该病毒对各网络计算机系统的感染和传播,尽可能减少其危害和影响,中心整理出具体防范措施建议(见附件2)、针对敲诈病毒(WanaCrypt0r2.0)的解决方案(见附件3)、各操作系统版本补丁下载地址及360公司下载工具(免疫工具、专杀工具、文件恢复工具等)(见附件4),建议各单位用户尽快下载安装。
一旦出现类似事件第一时间反馈到中心,以便中心提供技术支持和帮助,联系电话:65790463(潘老师、梁老师)
现代教育技术中心
2017年5月13日
附件1:
关于近日大量电脑感染勒索病毒的说明.doc
附件2:关于勒索病毒中招的具体防范措施建议.doc
附件3:针对敲诈病毒(WanaCrypt0r2.0)的解决方案.doc
附件4:各操作系统版本补丁下载地址及360公司下载工具(免疫工具、专杀工具、文件恢复工具等).doc
附件1 关于近日大量电脑感染勒索病毒的说明
2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,影响覆盖美国、俄罗斯、整个欧洲等100多个国家,国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
漏洞描述
近期国内多处高校网络和企业内网出现WannaCry勒索软件感染情况,磁盘文件会被病毒加密,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
风险等级
360安全监测与响应中心对此事件的风险评级为:危急
影响范围
扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响。
附件2 关于勒索病毒中招的具体防范措施建议
个人计算机用户的预防措施:
1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系统的用户,请启用系统自带的更新功能将补丁版本升级到最新版本;
2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系统用户,建议升级操作系统到 Windows 7、Windows 2012及以上,如果因为特殊原因无法升级操作系统版本的,请手动下载XP和win2003补丁程序进行安装,补丁下载地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。
二、自建局域网预防措施:
在自建局域网的自有设备上阻断TCP 135、137、139、445 端口的连接请求,将会有效防止该病毒的传播,但是同时也阻断了校内外用户正常访问使用Windows系统相应文件共享机制的信息系统和网络服务。因此,必须谨慎使用下列预付措施:
1、在网络边界(如自建局域网出口)上阻断 TCP 135、137、139、445 端口的连接请求。这个操作可有效阻断病毒从外部传入内部网络,但无法阻止病毒在内部网络传播。
2、在自建局域网的核心交换设备处阻断 TCP 135、137、139、445 端口的连接请求,该操作可阻断病毒在自建局域网间进行传播,但无法阻止病毒在自建局域网内传播。
3、在自建局域网子网边界处阻断 TCP 135、137、139、445 端口的连接请求,该操作可最大限度保护子网的安全,但是无法阻挡该病毒在同台交换机下传播。
综上所述,自建局域网的自有设备上阻断网络的TCP 135、137、139、445 端口连接请求只是临时措施,尽快完成各单位用户Windows系统软件的升级或修复漏洞才是防范该病毒的根本措施。
附件3 针对敲诈病毒(WanaCrypt0r2.0)的解决方案
一、病毒背景
5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,中国大陆大量教育网用户和企业用户中招。
与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。
微软在今年3月10日已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010。
没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。
一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金,折合人民币2000-50000元不等。
从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,后续威胁也不容小觑。
二、病毒感染现象
中毒系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。
WNCRY变种一般勒索价值300-600美金的比特币,Onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。
此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。
从某种意义上来说,这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。
中毒后的勒索提示
部分系统桌面变化
三、针对未中病毒系统解决方案
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此补丁,请参考本文档《安全补丁下载》章节内容进行下载安装。
2、开启Windows防火墙。请参考《打开Windows 防火墙》章节进行Windows防火墙启用。
3、针对暂时无法安装补丁的Windows Server 2003以及Windows XP系统,可以通过关闭445端口(监控其他关联端口如: 135、137、139)来避免病毒侵害。
(1)快捷键WIN+R启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令:netstat -an
*用于检测445端口是否开启
上图为未关闭445端口
(2)如445端口开启(如上图),依次输入以下命令进行关闭:
net stop rdr / net stop srv / net stop netbt
功后的效果如下:
4、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
5、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
6、建议仍在使用Windows XP,Windows Server 2003操作系统的用户尽快升级到 Window 7/Windows 10,或 Windows 2008/2012/2016操作系统。
7、若是Windows 7、Windows 8/8.1、Windows 10(不包含LTSB)以上操作系统在启用自动更新情况下对此病毒免疫。
8、安装正版操作系统、Office软件等。
四、针对已中病毒系统解决方案
在没有解密密钥情况下,中病毒计算机中的文件恢复的成本非常高昂、难度非常大。若确定计算机已经中毒,应将该计算机隔离或断网(拔网线),以免进行病毒扩散。若存在该计算机备份,则启动备份恢复程序。若没有重要文件,可通过对磁盘全盘进行格式化,重装系统恢复使用。
五、安全补丁下载
针对不同的系统所安装的补丁不同,请严格按照系统版本下载相对应的安全补丁对系统进行更新。
------------------------------------------------------------------------
以下系统版本:
Windows XP 32位/64位/嵌入式
Windows Vista 32/64位
Windows Server 2003 SP2 32位/64位
Windows 8 32位/64位
Windows Server 2008 32位/64位/安腾
对应补丁下载地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
------------------------------------------------------------------------
以下系统版本:
Windows 7 32位/64位/嵌入式
Windows Server 2008 R2 32位/64位
对应补丁下载地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
------------------------------------------------------------------------
以下系统版本:
Windows 8.1 32位/64位
Windows Server 2012 R2 32位/64位
对应补丁下载地址:
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
附件4 各操作系统版本补丁下载地址及360公司下载工具(免疫工具、专杀工具、文件恢复工具等)
Win7 ms17-010官方补丁md5值及下载地址
win7 x64
md5:d745f8983f0433be76e0d08b76113563 sha1:6bb04d3971bb58ae4bac44219e7169812914df3f
下载地址:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
win7 x86
md5:883a7d1dc0075116789ea5ff5c204afc sha1:2decefaa02e2058dcd965702509a992d8c4e92b3
下载地址:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
win10 x64 补丁下载地址:
http://download.windowsupdate.com/c/msdownload/update/softw
are/secu/2017/03/windows10.0-kb4012606-
x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
win10 x86 补丁下载地址:
http://download.windowsupdate.com/c/msdownload/update/softw
are/secu/2017/03/windows10.0-kb4012606-
x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
XP和win2003官方补丁地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
其他补丁下载地址:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
点击公告里对应的系统下载对应补丁。
2003:
http://0kee.360.cn/ms/2003/kb4012598-x64-custom-chs.exe
http://0kee.360.cn/ms/2003/kb4012598-x64-custom-enu.exe
http://0kee.360.cn/ms/2003/kb4012598-x86.exe
2008:
http://0kee.360.cn/ms/2008/kb4012598-x64.msu
http://0kee.360.cn/ms/2008/kb4012598-x86.msu
2008R2:
http://0kee.360.cn/ms/2008R2/kb4012212-x64.msu
http://0kee.360.cn/ms/2008R2/kb4012212-x86.msu
http://0kee.360.cn/ms/2008R2/kb4012215-x64.msu
http://0kee.360.cn/ms/2008R2/kb4012215-x86.msu
2012R2:
http://0kee.360.cn/ms/2012R2/kb4012213-x64.msu
http://0kee.360.cn/ms/2012R2/kb4012213-x86.msu
http://0kee.360.cn/ms/2012R2/kb4012216-x64.msu
http://0kee.360.cn/ms/2012R2/kb4012216-x86.msu
8.1:
http://0kee.360.cn/ms/8.1/kb4012213-x64.msu
http://0kee.360.cn/ms/8.1/kb4012213-x86.msu
http://0kee.360.cn/ms/8.1/kb4012216-x64.msu
http://0kee.360.cn/ms/8.1/kb4012216-x86.msu
vista:
http://0kee.360.cn/ms/vista/kb4012598-x64.msu
http://0kee.360.cn/ms/vista/kb4012598-x86.msu
win7:
http://0kee.360.cn/ms/win7/kb4012212-x64.msu
http://0kee.360.cn/ms/win7/kb4012212-x86.msu
http://0kee.360.cn/ms/win7/kb4012215-x64.msu
http://0kee.360.cn/ms/win7/kb4012215-x86.msu
xp:
http://0kee.360.cn/ms/xp/sp2-kb4012598-custom-enu-x86.exe
http://0kee.360.cn/ms/xp/sp3-embedded-kb4012598-custom-enu-x86.exe
http://0kee.360.cn/ms/xp/sp3-kb4012598-custom-enu-x86.exe
win7 sp0-sp1升级包:
http://0kee.360.cn/ms/win7/sp0-sp1-X64.exe
http://0kee.360.cn/ms/win7/sp0-sp1-X86.exe
漏洞检测工具:
http://0kee.360.cn/ms/ms17010detect.exe
http://0kee.360.cn/ms/ms17-10.py
http://0kee.360.cn/ms/ms17-10_BSOD_shilei.exe //蓝屏
http://0kee.360.cn/ms/ms17-010-bsod.py //蓝屏
免疫工具&处置指南:
http://0kee.360.cn/ms/010.zip
360公司免疫工具下载链接:
http://b.360.cn/other/onionwormimmune
360公司专杀工具下载链接:
http://b.360.cn/other/onionwormkiller
360公司勒索蠕虫病毒文件恢复工具下载链接:https://dl.360safe.com/recovery/RansomRecovery.exe
