高能警惕 電腦病毒全球性爆發(fā)
2017-05-15
事件概要
5月12日晚,,國內(nèi)有不少高校學(xué)生反映電腦被惡意的病毒攻擊,文檔被加密,。源頭來自暗網(wǎng),,攻擊具備兼容性、多語言支持,,多個(gè)行業(yè)受到影響,,國內(nèi)的ATM機(jī)、火車站,、自助終端,、郵政,、醫(yī)院、政府辦事終端,、視頻監(jiān)控都可能遭受攻擊,。據(jù)報(bào)道,全國多地的中石油加油站無法進(jìn)行網(wǎng)絡(luò)支付,,只能進(jìn)行現(xiàn)金支付,。中石油有關(guān)負(fù)責(zé)人表示,懷疑受到病毒攻擊,,具體情況還在核查,。而截至目前,一些公安系統(tǒng)已經(jīng)遭到入侵,。中招系統(tǒng)文檔,、圖片資料等常見文件都會(huì)被病毒加密,然后向用戶勒高額比特幣贖金,,并且病毒使用RSA非對(duì)稱算法,,沒有私鑰就無法解密文件。
中招現(xiàn)象主要有兩點(diǎn):
中招現(xiàn)象主要有兩點(diǎn):
1,、中招用戶系統(tǒng)彈出比特幣對(duì)話框;
2,、用戶文件被加密,,后綴為“wncry”。
軟件利用美國安全局黑客武器庫泄露的ETERNALBLUE(永恒之藍(lán))發(fā)起病毒攻擊,。遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用黑客工具包有關(guān),。其中ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機(jī)器,,實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行,。 蠕蟲軟件正是利用服務(wù)器漏洞,通過2008 R2滲透到未打補(bǔ)丁的Windows XP版本計(jì)算機(jī)中,,實(shí)現(xiàn)大規(guī)模迅速傳播,。 一旦你所在組織中一臺(tái)計(jì)算機(jī)受攻擊,蠕蟲會(huì)迅速尋找其他有漏洞的電腦并發(fā)起攻擊,。
處置措施
第1步:立即修復(fù)漏洞,、升級(jí)補(bǔ)丁
請(qǐng)盡快為電腦安裝MS17-010漏洞補(bǔ)丁,網(wǎng)址https://technet.microsoft.com/zh-cn/library/security/MS17-010,,對(duì)于XP,、2003等微軟已不再提供安全更新的機(jī)器,安裝XP和部分服務(wù)器版WindowsServer2003特別安全補(bǔ)?。?br>https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能補(bǔ)丁升級(jí),,請(qǐng)采用以下緊急處理措施:關(guān)閉445,、137、138,、139端口,,關(guān)閉網(wǎng)絡(luò)共享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
第2步:軟件自檢,、查殺
建議直接升級(jí)殺毒軟件病毒庫進(jìn)行檢測(cè)及查殺,,其他輔助檢測(cè)方法勒蠕蟲終端自檢查殺工具下載地址:http://www.antiy.com/response/wannacry/ATScanner.zip
第3步:如已中招,文件恢復(fù)嘗試
如果已經(jīng)不幸中招,,可使用360勒蠕蟲病毒文件恢復(fù)工具,,嘗試進(jìn)行文件恢復(fù)。工具下載地址:https://dl.360safe.com/recovery/RansomRecovery.exe
