5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。
勒索软件利用NSA爆出的漏洞迅速传播
软件利用美国国家安全局黑客武器库泄露的ETERNALBLUE(永恒之蓝)发起病毒攻击。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。 蠕虫软件正是利用 SMB服务器漏洞,通过2008 R2渗透到未打补丁的Windows XP版本计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。
事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。
处理方案:
未感染主机
1) 检测Windows电脑是否存在漏洞;
2) 防火墙屏蔽445端口;
3) 关闭共享打印机,SMB服务;
4) 尽快备份电脑中的重要文件资料到存储设备上。提高安全意识,请不要打开陌生人可疑邮件。
5) 升级系统补丁;
6) 请在windows系统中控制面板->程序->启用或关闭windows功能,取消勾选SMB 1.0/CIFS 文件共享支持并重启系统;
7) 不要点击不明邮件内的链接信息
已感染主机
一旦发现中毒机器,立即断网。组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置。并禁止在中毒机器使用u盘、移动硬盘等设备,防止移动传染。