学校主页 | 部门首页 | 中心概况 | 办事指南 | 规章制度 | 实验室建设 | 实验室管理 | 实验室安全教育 | 党建工作 | 下载专区 
当前位置: 部门首页>>通知公告>>正文

“永恒之蓝”勒索蠕虫病毒报告及应急处置方案


作者:    文章来源:    更新时间:2017年05月15日 09:14 

事件背景:

2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,影响覆盖美国、俄罗斯、整个欧洲等100多个国家,国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

漏洞描述:

目前国内多处高校网络和企业内网出现WannaCry勒索软件感染情况,磁盘文件会被病毒加密,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥

影响范围:

系统:Windwos系统

范围:所有开放445服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。

一、禁用445端口(如电脑有共享打印机,可不做2-3步)

系统:Win7、Win8、Win10系统

1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czIUPUGTmv7nBgVicMzibiahNCujCUgMEll3JN1h7qlaoibN4CO4Rj6tnChfA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

2、选择启动防火墙,并点击确定

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czI66Cln577lETyPCf41ae2mlEiaRhsUmibeNVkxicMFLErhn4EVL5y2Wvhw/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

3、点击高级设置

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czILZ0LHtW0glAulUx0Eic9mMFhC4Ih0ia7btibCriaEBcBMdOqCDSPITx42w/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

4、点击入站规则,新建规则

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czIoN9Hr21kI7e83zOKZmp8Mj9JfNHaMafd9kgYzk9ciaSu0N8yTDLLGUg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

5、选择端口,下一步

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czICIUStWnIYJXPONSzG3zibyQ77OGH2Q6MYNNLCAib4SLdVTX86FzKjl6Q/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

6、特定本地端口,输入445,下一步

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czIWrN7yvtXwViahaS6TOm8T95N48JetqQSKOxtTG6P3EYAIrU9mib2eWUQ/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

7、选择阻止连接,下一步

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czIkWrtklf1HxWIEovhbzjiblsEYmVPfyBlhC6YremwdE12WX9LtAicK8CQ/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

8、配置文件,全选,下一步

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czIWQpNZEGIEtHHkicpbgNiaTlmGhh8dhQmoppgpODkCHym1uvEwHzArrIw/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

图15

9、名称,可以任意输入,完成即可。

说明: https://mmbiz.qpic.cn/mmbiz_png/krU5D4C1q6TVib8P73iba20w6mgzfh8czI8NkDIHxjTHRrhlyiaW1hNOicXXmiaQY7klaoE3vM6CibdgXnicUic1XkGyyQ/640?wx_fmt=png&wxfrom=5&wx_lazy=1&retryload=1

系统:XP、Win7、Win8、Win10系统

推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe

关闭

 
您是第 位访客
 

凯里学院实验教学中心 地址:贵州省凯里经济开发区开元大道3号 邮编:556011 邮箱:klunivetc@163.com