尊敬的24848威尼斯用户:
网络安全问题从未让人如此闻风丧胆。
5月13日,全球多国爆发电脑勒索病毒—WannaCry,受害者电脑会被黑客锁定,提示支付价值相当于300美元的比特币才可解锁。此病毒传播规模非常巨大,目前已经波及99个国家。
是谁在开展攻击?
一些专家说,这种攻击应该是利用了微软系统的一个漏洞。该漏洞其实最早是美国国安局发现的,他们还给漏洞取名为EternalBlue。
然后,国安局研发的相关工具就被一个名为“影子经纪人”的黑客团体窃取了。 黑客们还尝试在一个网上拍卖中出售它们。
但是,黑客们之后又决定免费提供这些工具,并在4月8日发布了加密密码。黑客们表示,他们发布密码,是为了对美国总统唐纳德·特朗普表示“抗议”。当时一些网络安全专家表示,恶意软件可能是真的,但却已经过时,因为微软在3月份就发布了这个漏洞的补丁,但问题在于,很多系统可能尚未安装更新补丁。
攻击规模有多大?
目前已经有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。反病毒软件厂商 Avast表示,世界各地出现的WannaCry勒索病毒案例已经增加到了7.5万个。
反病毒厂商Avast的专家Jakub Kroustek说:“这个规模非常巨大。”
什么是勒索病毒?
很多研究人员说,这些勒索案例似乎彼此之间存在联系,但他们表示,这可能不是针对某些具体目标的有组织攻击。与此同时,据说一些和勒索病毒有关的比特币钱包已经开始充满现金。
谁受到了攻击?
英国国家卫生服务局(NHS)受到攻击,一些手术被迫取消。一名NHS工作人员告诉BBC,在其中一些案例中,病人“几乎肯定会死亡”。
有报道说,俄罗斯的感染案例比其他任何一个国家都多。
一些西班牙公司,包括电信巨头Telefonica,电力公司Iberdrola和公用事业公司Gas Natural也遭受了攻击。有报道说,这些公司的工作人员被告知要关掉计算机。
葡萄牙电信公司、联邦快递公司、瑞典一个地区的政府,以及俄罗斯第二大移动运营商Megafon,也表示受到了攻击。
这个恶意软件的工作原理是怎样的?
一些安全研究人员指出,这次的感染似乎是通过一个蠕虫来部署的。蠕虫是一种程序,可以在计算机之间自我传播。
与许多其他恶意程序不同的是,这个程序只靠自己就能够在一个网络中移动传播。其他大多数恶意程序是依靠人类来传播的,也就是说,需要先有人去点击含有攻击代码的附件。
一旦WannaCry进入了一个组织机构的内部计算机网络,它就会找到一些脆弱的计算机并感染它们。这可能解释了为什么它的影响是如此巨大——因为每个受害的组织机构里都有大量的机器被感染。
防范勒索软件病毒攻击的方法在这里:
西部数码已经在机房前端通过防火墙拦截了以上危险端口,但为防止遗漏,还是建议您采取必要措施,以保证系统更加安全。以下四种措施均可以有效的关闭以上危险端口,您可以根据实际情况自行选则。
一、事前防范:
1.将服务器升级到最新版,打上最新补丁
a.但此方式仅对windows2008以上的服务器有效,因windows2003微软已经停止了服务,所以此方法无效。
b.为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010。
2.在Windows服务中禁用Server服务、禁用TCP/IP 上的NetBIOS
a.对于禁止用Server服务,可以点击开始-运行,输入services.msc,找到server服务后右击,选择停止,再选择属性,将启动类型改为禁用
b. 对于禁止TCP/IP上的NetBIOS,可点击开始-设置-网络和拨号连接-本地连接-TCP/IP属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’
c.然后重启服务器
3.利用防火墙添加规则屏蔽入口,关闭445、135、137、138、139端口,关闭网络共享。(可以用后文的命令批量关闭)
● 开始菜单 > 打开控制面板 > 选择Windows防火墙
● 如果防火墙没有开启,点击“启动或关闭 Windows防火墙”启用。
● 点击“高级设置”,然后左侧点击“入站规则”,再点击右侧“新建规则”。
● 在打开窗口哦选择要创建的规则类型为“端口”,并点击“下一步”。
● 在“特定本地端口”处填入445并点击“下一步”,选择“阻止连接”,一直点击“下一步”,并给规则任意命名后点击完成即可。
4.若是我司云主机,可使用安全组功能
添加一个安全组,安全组中添加4条规则,协议类型为TCP,源IP默认为0.0.0.0,优先级默认,目标端口分别填写135、137、139、445,行为选择“阻止”,并将此安全组应用到所有windows服务器即可。
5、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
a.对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份。
b.部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。
c. 目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,开启实时防护,避免遭受攻击。
d.可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)。
6、建议仍在使用windows xp, windows 2003操作系统的用户尽快升级到 window 7/windows 10,或 windows 2008/2012/2016操作系统。
7、安装正版操作系统、Office软件等。
二、事后病毒处理
1.首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器。
2.病毒清理。相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,
可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)。
3.也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作。
提醒广大用户:
目前,西部数码默认为云主机用户关闭455端口,且默认安装Windows官方补丁。所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。
安全补丁对个人用户来说相对简单。只需自学装载,就能完成止血。但是对大型企业or组织机构而言,面对成百上千台机器,最好还是能使用客户端进行集中管理。
可靠的数据备份可以将勒索软件带来的损失最小化。建议对重要数据定期做离线备份,并同时做好安全防护,避免被感染和损坏。
附:在cmd状态下批量执行以下命令可关闭危险端口:
net stop SCardSvr
net stop SCPolicySvc
sc config SCardSvr start= disabled
sc config SCPolicySvc start= disabled
net start MpsSvc
sc config MpsSvc start= auto
netsh advfirewall set allprofiles state on
netsh advfirewall firewall add rule name="deny udp 137" dir=in protocol=udp localport=137 action=block
netsh advfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name="deny udp 138" dir=in protocol=udp localport=138 action=block
netsh advfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name="deny udp 139" dir=in protocol=udp localport=139 action=block
netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name="deny udp 445" dir=in protocol=udp localport=445 action=block
netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block