站内搜索:
为了安全,今天最好别上网
日期:[2017-05-15]  版次:[A08]   版名:[热点]   字体:【

勒索软件WannaCry已入侵全球22万台电脑,专家建议个人用户一断网、二备份、三下载补丁“防疫”

新快报讯 记者罗琼报道 上周五,全球一百多个国家和地区爆发大规模勒索软件攻击事件,目前已经攻陷了超过22万台电脑,并严重干扰了高校、政府机关等正常运作。业界分析,勒索软件攻击事件将在今日再次爆发,有可能造成严重的社会危害。为了确保安全,专家呼吁个人和单位用户及早下载系统补丁,尤为重要的是要对重要文件进行备份。

●危险

勒索软件偷偷给数据文件“上锁”

此次攻击事件的主角,是一款名为“WannaCry”的勒索软件。中山大学网络空间安全研究所所长张方国介绍,该勒索软件同时具备加密勒索功能和内网蠕虫传播能力,属于新型的勒索软件。用户主机系统一旦被该勒索软件入侵,主机上的重要数据文件(如图片、文档、压缩包、音频、视频、可执行程序等)将被恶意加密、后缀名被统一修改为“.WNCRY”,相当于给数据文件加上了一把密锁,只有黑客才拥有“钥匙”。为了解锁,用户需要根据提示,支付价值相当于300美元(约合人民币2069元)的比特币。虽然用户可通过重装操作系统来解除勒索行为,但重要数据文件不能直接恢复。

截至5月14日18时,根据实时监控平台MalwareTech显示,勒索病毒已感染全球22万台电脑。

●蔓延

今日或迎来勒索病毒新一轮爆发

广东省公安厅网警总队副总队长蔡旭告诉新快报记者,目前,WannaCry波及全球范围内的100多个国家和地区,医院、政府机关等关键信息系统受到沉重打击,如英国有超过40家医院的电脑受到大规模攻击后沦陷。

“目前,我国诸多行业都受到大规模感染,其中教育网受损最为严重,攻击造成大量教学系统瘫痪。”蔡旭说。

新快报记者了解到,勒索病毒持续发威,已经影响到了许多系统的正常运作。比如,某市车管所被病毒感染后无法工作,而机场出入境、银行提款机、加油站也分别受到了攻击和影响。

蓝盾股份首席信息官杨育斌透露,根据该企业掌握的客户数据来看,除了教育和医疗领域,很多企业内网的重要服务器也被加密,已经严重影响到企业的业务延续性和信息安全保障。

业界评估,WannaCry的恶劣程度远超10年前的“熊猫烧香”。而由于病毒于上周五晚爆发,我国许多政府部门的电脑处于关机状态,估计周一开机时会爆发更大的“疫情”。这样的电脑病毒如果发生在战时,很可能会导致社会大面积瘫痪。

●原理

利用系统漏洞远程攻击445端口

张方国告诉新快报记者,WannaCry勒索软件,是借助了一个名为“EternalBlue(永恒之蓝)”的利用代码。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装微软公司于今年3月发布的补丁(MS17-010),那么无需用户任何操作,只要开机上网,“永恒之蓝”就有可能在电脑里执行任意代码,植入勒索病毒等恶意程序。

他表示,国内之前曾多次出现利用445端口传播蠕虫病毒的案例,因此部分运营商和个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。

新快报记者了解到,“永恒之蓝”的利用代码主要针对WindowsXP、Windows7和Windows2008用户,上述操作系统只要打开了445端口且没有安装MS17-010,就一定会受到影响。

●防范

个人用户尽快安装MS17-010补丁

广州市信息安全等级保护工作协调小组办公室已经于5月13日发出紧急件,要求各单位立即开展Windows系统勒索软件防范及相关漏洞排查修复工作。

杨育斌建议,个人用户需要尽快为电脑安装微软已发布的MS17-010补丁;低版本系统用户尽快升级到高版本系统;所有Windows服务器、个人电脑都要使用防火墙过滤或关闭445、135、137、138、139端口,及时关闭网络共享;同时尽快转移电脑重要文件,尽量利用移动硬盘进行备份,并加强移动安全介质、网盘等软件安装入口管理,预防计算机受到病毒影响。

■提醒

个人用户 安全防范措施

1.拔掉个人电脑网线,断开网络连接,防止个人电脑被病毒感染;

2.通过操作系统防火墙关闭本地的445及其他关联端口(135、137、139)的外部网络访问权限;

3.通过U盘和移动硬盘对重要文件进行备份;

4.通过离线方式更新操作系统补丁。

企业网络管理员

安全防范措施

1.边界交换机、路由器、防火墙和内网核心主干交换路由等设备禁止双向135/137/139/445端口的TCP连接;

2.更新入侵防御、入侵检测、APT等安全设备漏洞库、开启防御策略;

3.对局域网内设备445及其他关联端口135、137、139进行扫描,发现潜在风险的设备进行安全加固。

应急处置方案

对于已感染的设备,进行以下操作:

1.立即断开已感染设备的网络连接,防止病毒进一步扩散;

2.尝试通过深度文件恢复工具对已被加密文件进行恢复;

3.使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理。

最新操作系统补丁下载

1.Microsoft安全公告(MS17-010)及补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx。

2.Microsoft发布的Windows XP和Windows 2003特别补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

3.可选择安装国内安全厂商的补丁工具,如 360 安全中心推出的“NSA 武器库免疫工具”(http://dl.360safe.com/nsa/nsatool.exe)。

分享到:
  以上内容版权均属广东新快报社所有(注明其他来源的内容除外),任何媒体、网站或个人未经本报协议授权不得转载、链接、转贴或以其他方式复制发布/发表。