【緊急通告】電腦勒索病毒全球肆虐,如何有效防範?


2017-05-15 亦飛資訊


尊敬的亦飛資訊使用者:

網路安全問題從未讓人如此聞風喪膽。


5月13日,全球多國爆發電腦勒索病毒—WannaCry,受害者電腦會被駭客鎖定,提示支付價值相當於300美元的比特幣才可解鎖。 此病毒傳播規模非常巨大,目前已經波及99個國家


快速閱讀:


1. 在全球性電腦勒索病毒面前,工作電腦如何預防?

2. Windows高危漏洞,雲伺服器如何規避?



這種勒索病毒名為WannaCry ,圖中是安全研究人員的安全的電腦環境中進行演示。



是誰在開展攻擊?


一些專家說,這種攻擊應該是利用了微軟系統的一個漏洞。 該漏洞其實最早是美國國安局發現的,他們還給漏洞取名為EternalBlue


然後,國安局研發的相關工具就被一個名為「影子經紀人」的駭客團體竊取了。 駭客們還嘗試在一個網上拍賣中出售它們。


但是,駭客們之後又決定免費提供這些工具,並在48日發佈了加密密碼。 駭客們表示,他們發佈密碼,是為了對美國總統唐納德•特朗普表示「抗議」。 當時一些網路安全專家表示,惡意軟體可能是真的,但卻已經過時,因為微軟在3月份就發佈了這個漏洞的補丁,但問題在於,很多系統可能尚未安裝更新補丁。


攻擊規模有多大?

目前已經有99個國家遭受了攻擊,其中包括英國、美國、中國、俄羅斯、西班牙和義大利。 反病毒軟體廠商 Avast表示,世界各地出現的WannaCry勒索病毒案例已經增加到了7.5萬個。


反病毒廠商Avast的專家Jakub Kroustek說:「這個規模非常巨大。


什麼是勒索病毒?

很多研究人員說,這些勒索案例似乎彼此之間存在聯繫,但他們表示,這可能不是針對某些具體目標的有組織攻擊。 與此同時,據說一些和勒索病毒有關的比特幣錢包已經開始充滿現金。


誰受到了攻擊?

英國國家衛生服務局(NHS)受到攻擊,一些手術被迫取消。 一名NHS工作人員告訴BBC,在其中一些案例中,病人「幾乎肯定會死亡」。


有報導說,俄羅斯的感染案例比其他任何一個國家都多。


一些西班牙公司,包括電信巨頭Telefonica,電力公司Iberdrola和公用事業公司Gas Natural也遭受了攻擊。 有報導說,這些公司的工作人員被告知要關掉電腦。


葡萄牙電信公司、聯邦快遞公司、瑞典一個地區的政府,以及俄羅斯第二大移動運營商Megafon,也表示受到了攻擊。


這個惡意軟體的工作原理是怎樣的?

一些安全研究人員指出,這次的感染似乎是通過一個蠕蟲來部署的。 蠕蟲是一種程式,可以在電腦之間自我傳播。


與許多其他惡意程式不同的是,這個程式只靠自己就能夠在一個網路中移動傳播。 其他大多數惡意程式是依靠人類來傳播的,也就是說,需要先有人去點擊含有攻擊代碼的附件。


一旦WannaCry進入了一個組織機構的內部電腦網路,它就會找到一些脆弱的電腦並感染它們。 這可能解釋了為什麼它的影響是如此巨大——因為每個受害的組織機構裡都有大量的機器被感染。


防範勒索軟體病毒攻擊的方法在這裡:


亦飛資訊已經在機房前端通過防火牆攔截了以上危險埠,但為防止遺漏,還是建議您採取必要措施,以保證系統更加安全。 以下四種措施均可以有效的關閉以上危險埠,您可以根據實際情況自行選則。


一、事前防範:

1. 將伺服器升級到最新版,打上最新補丁

a.但此方式僅對windows2008以上的伺服器有效,因windows2003微軟已經停止了服務,所以此方法無

效。

b.為電腦安裝最新的安全補丁,微軟已發佈補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞,請儘

安裝此安全補丁,網址為HTTPs://technet.microsoft.com/zh-cn/library/security/MS17-010

2. 在Windows服務中禁用Server服務、禁用TCP/IP 上的NetBIOS

a.對於禁止用Server服務,可以點擊開始-運行,輸入services.msc,找到server服務後右擊,選擇停止,

再選擇屬性,將啟動類型改為禁用

b.對於禁止TCP/IP上的NetBIOS,可點擊開始-設置-網路和撥號連線-本地連接-TCP/IP屬性-高級

WINS-選‘禁用TCP/IT上的NETBIOS

c.然後重啟伺服器

3. 利用防火牆添加規則遮罩入口,關閉445135137138139埠,關閉網路共用。 (可以用後文的

令批量關閉)


● 開始功能表 > 打開控制台 > 選擇Windows防火牆




● 如果防火牆沒有開啟,點擊「啟動或關閉 Windows防火牆」啟用。




● 點擊「高級設置」,然後左側點擊「入站規則」,再點擊右側「新建規則」。





● 在打開視窗哦選擇要創建的規則類型為「埠」,並點擊「下一步」。




● 在「特定本地埠」處填入445並點擊「下一步」,選擇「阻止連接」,一直點擊「下一步」,並給規則任意命名後點擊完成即可。




4. 若是我司雲主機,可使用安全性群組功能

添加一個安全性群組,安全性群組中添加4條規則,協定類型為TCP,源IP預設為0.0.0.0,優先順序預

設,目標埠分別填寫135137139445,行為選擇「阻止」,並將此安全性群組應用到所有

windows伺服器即可。

5. 儘快(今後定期)備份自己電腦中的重要檔資料到移動硬碟、U盤,備份完後離線保存該磁片。

a.對相關重要檔採用離線備份(即使用U盤等方式)等方式進行備份。

b.部分電腦帶有系統還原功能,可以在未遭受攻擊之前設置系統還原點,這樣即使遭受攻擊之後可以還

原系統,找回被加密的原檔,不過還原點時間到遭受攻擊期間的檔和設置將會丟失。

c.目前,大部分安全軟體已經具有該勒索軟體的防護能力或者其他免疫能力等,可以安裝這些安全軟

體,開啟即時防護,避免遭受攻擊。

d.可以採用一些檔防護工具,進行檔的備份、防護,如電腦管家的文檔守護者(電腦管家工具箱內可下

載使用)。

6.建議仍在使用windows xp windows 2003作業系統的使用者儘快升級到 window 7/windows 10,或

windows 2008/2012/2016作業系統。

7.安裝正版作業系統、Office軟體等。


二、事後病毒處理

1. 首先可以拔掉網線等方式隔離已遭受攻擊電腦,避免感染其他機器。

2. 病毒清理。 相關安全軟體(如電腦管家)的殺毒功能能直接查殺勒索軟體,

可以直接進行掃描清理(已隔離的機器可以通過U盤等方式下載離線包安裝)。

3. 也可以在備份了相關資料後直接進行系統重裝,並在重裝後參考"事前預防"進行預防操作。


提醒廣大使用者:


目前,亦飛資訊預設為雲主機使用者關閉455埠,且預設安裝Windows官方補丁。 所有在IDC託管或自建機房有伺服器的企業,如果採用了Windows作業系統,立即安裝微軟補丁。


安全補丁對個人使用者來說相對簡單。 只需自學裝載,就能完成止血。 但是對大型企業or組織機構而言,面對成百上千台機器,最好還是能使用用戶端進行集中管理。


可靠的資料備份可以將勒索軟體帶來的損失最小化。 建議對重要資料定期做離線備份,並同時做好安全防護,避免被感染和損壞。


附:在cmd狀態下批量執行以下命令可關閉危險埠:

net stop SCardSvr

net stop SCPolicySvc

sc config SCardSvr start= disabled

sc config SCPolicySvc start= disabled

net start MpsSvc

sc config MpsSvc start= auto

netsh advfirewall set allprofiles state on

netsh advfirewall firewall add rule name="deny udp 137" dir=in protocol=udp localport=137 action=block

netsh advfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcp localport=137 action=block

netsh advfirewall firewall add rule name="deny udp 138" dir=in protocol=udp localport=138 action=block

netsh advfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcp localport=138 action=block

netsh advfirewall firewall add rule name="deny udp 139" dir=in protocol=udp localport=139 action=block

netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block

netsh advfirewall firewall add rule name="deny udp 445" dir=in protocol=udp localport=445 action=block

netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block