FavoriteLoading
0

比特幣蠕蟲勒索病毒侵入中國各大高校及企業,手把手教小白如何防范

注意:從5月12號晚上8點左右 我國正在大規模傳播勒索軟件,本次攻擊定位目標為全國各地高校、教育網、企業

病毒傳播范圍

8090安全門戶有不少小伙伴投稿稱,在昨晚,也就是20點左右,國內部分高校學生反映電腦被病毒攻擊,文檔被加密。攻擊者稱需支付比特幣解鎖。據悉,病毒是全國性的,疑似通過校園網傳播,十分迅速。目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院以及廣西等地區的大學。另外有網友反映,大連海事大學、山東大學等也受到了病毒攻擊。

8090安全小組提請各地區校園學子,請趕緊備份重要文件以免遭到勒索,特別是應屆畢業生,論文一定要備份好!從目前的情況來看,病毒似乎還在擴散,8090安全小組將會持續關注。另悉,英國多家公立醫院也疑似遭到相同病毒的攻擊。

Wannacry病毒淺析分析

(被Wannacry病毒攻擊的截圖1)

(被Wannacry病毒攻擊的截圖2)

(被Wannacry病毒攻擊的截圖3)

這是一款叫做:Wannacry 的蠕蟲勒索軟件,這被認為是迄今為止最巨大的勒索交費活動,繼熊貓燒香之后又一種惡性蠕蟲病毒,這次是利用445端口傳播的。影響到近百個國家上千家企業及公共組織。 該軟件被認為是一種蠕蟲變種(也被稱為“Wannadecrypt0r,”wannacryptor’或’ wcry”)。 像其他勒索軟件的變種一樣,WannaCry也阻止用戶訪問計算機或文件,同時系統中的 圖片、視頻、音頻、壓縮包、可執行軟件 都被此勒索軟件以AES+RSA的加密算法加密。加密文件的內容都是以“WANACRY”開頭,文件后綴名統一被改成了“WNCRY”  。 對學習資料和個人數據造成了嚴重的損失

一旦電腦感染了Wannacry病毒,受害者要高達300美元的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。 

研究人員還發現了大規模惡意電子郵件傳播,以每小時500封郵件的速度傳播杰夫勒索軟件,攻擊世界各地的計算機。 

Wannacry病毒漏洞傳播詳解:

軟件利用美國國家安全局黑客武器庫泄露的“永恒之藍”發起病毒攻擊。其實,微軟已經在三月份發布相關漏洞MS17-010修復補丁,大多用戶并沒有進行修復更新,因此遭到此次嚴重的攻擊。 

蠕蟲軟件利用微軟Windows SMB服務器漏洞,通過2008 R2滲透到未打補丁的Windows XP版本計算機中,因而可以大規模迅速傳播。 一旦你的組織中一臺計算機受攻擊,蠕蟲會迅速尋找其他有漏洞的電腦并發起攻擊。


Wannacry病毒防范建議及修復方案:

本次攻擊涉及MS17-010上文也講了。我們可以采用以下方案進行解決

漏洞名稱:Microsoft Windows SMB遠程任意代碼執行漏洞 (MS17-010)

包含如下CVE:

CVE-2017-0143 嚴重 遠程命令執行

CVE-2017-0144 嚴重 遠程命令執行

CVE-2017-0145 嚴重 遠程命令執行

CVE-2017-0146 嚴重 遠程命令執行

CVE-2017-0147 重要 信息泄露

CVE-2017-0148 嚴重 遠程命令執行

漏洞描述:

SMBv1 server是其中的一個服務器協議組件。

Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。

遠程攻擊者可借助特制的數據包利用該漏洞執行任意代碼。

以下版本受到影響:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。


解決方案:

1.關閉TCP445端口(幫助

2.使用 Windows Update 進行系統更新win7系統更新幫助)(win10系統更新幫助

3.關閉SMBv1服務

3.1 適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于客戶端操作系統:

打開“控制面板”,單擊“程序”,然后單擊“打開或關閉 Windows 功能”。

在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復選框,然后單擊“確定”以關閉此窗口。

重啟系統。

3.2 對于服務器操作系統:

打開“服務器管理器”,單擊“管理”菜單,然后選擇“刪除角色和功能”。

在“功能”窗口中,清除“SMB 1.0/CIFS 

文件共享支持”復選框,然后單擊“確定”以關閉此窗口。

重啟系統。

3.3適用于運行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注冊表

新建項︰ SMB1,值0

重新啟動計算機即可


關于影響的操作系統范圍和對應的補丁號碼詳情請見:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx


【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。