高能警惕 電腦病毒(dú)全球性爆發
2017-05-15
事件概要
5月12日晚,國內有不少高校學生反映電腦被(bèi)惡意的病毒攻擊,文檔(dàng)被加密。源(yuán)頭來自暗網,攻擊(jī)具備兼容性、多語言支持,多個行業受到影響,國內的ATM機、火車站、自助終端、郵政、醫院、政府辦事終端、視頻監控都可能遭受攻擊。據報道,全(quán)國多地的(de)中石油加油站無法進(jìn)行網(wǎng)絡支付,隻能進行現金支付。中石油有關負責人表示,懷疑受到病毒攻擊,具體情況還在核查。而截(jié)至目前,一些公安係統已(yǐ)經(jīng)遭到入侵(qīn)。中招係統文檔、圖片資料等常見文件都會被(bèi)病毒加(jiā)密,然後(hòu)向用(yòng)戶勒高(gāo)額比特幣贖金,並且病毒使用RSA非對稱算法,沒有私鑰就無法解(jiě)密文件(jiàn)。
中(zhōng)招現象主要有兩點:
中(zhōng)招現象主要有兩點:
1、中招用(yòng)戶係統彈出比特幣對話框;
2、用戶文件被加密,後綴為“wncry”。
軟件利用美國安全局黑客武器庫泄露的ETERNALBLUE(永恒之藍)發起病毒攻擊。遠程利用代(dài)碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布(bù)的Equation Group(方程式組織(zhī))使用黑客工具包有關。其中ETERNALBLUE模(mó)塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口(kǒu)的 Windows 機器,實現遠程命令執行。 蠕蟲軟件正是利用服務器(qì)漏洞,通過2008 R2滲透到未打補丁的Windows XP版本計算機中,實現大(dà)規模迅速傳(chuán)播。 一旦你(nǐ)所在組織中一台(tái)計算機受攻擊,蠕蟲會迅速尋找其他有漏洞的電腦並發起攻擊。
處置措施
第1步:立即修複漏洞、升級補丁
請盡(jìn)快為電腦安裝MS17-010漏洞補丁,網址(zhǐ)https://technet.microsoft.com/zh-cn/library/security/MS17-010,對於XP、2003等(děng)微軟(ruǎn)已不再提供安全更新的機(jī)器,安裝XP和部(bù)分服務器版WindowsServer2003特(tè)別安全補丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能(néng)補丁升級,請采用以下緊急處(chù)理措施:關(guān)閉445、137、138、139端口,關閉網絡共享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能(néng)補丁升級,請采用以下緊急處(chù)理措施:關(guān)閉445、137、138、139端口,關閉網絡共享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
第(dì)2步:軟件自(zì)檢、查殺
建議直接升級殺(shā)毒軟件病毒庫進行檢(jiǎn)測及查殺,其他輔助檢測方法勒蠕蟲終端自檢查殺工具下載地址(zhǐ):http://www.antiy.com/response/wannacry/ATScanner.zip
第3步:如已中招,文件恢複嚐(cháng)試
如果已(yǐ)經不幸中招,可使用360勒蠕蟲病(bìng)毒文件恢複工具,嚐試進行文件恢複。工具(jù)下載地(dì)址:https://dl.360safe.com/recovery/RansomRecovery.exe
