antian365.com simeon
(1)鳳凰網:勒索病毒大範圍傳播,資訊安全專家紛紛發出警告
http://news.ifeng.com/a/20170513/51086871_0.shtml
(2)騰訊網:這種病毒全球大爆發!國内多所大學校園網淪陷,被黑的人都收到了勒索信
http://tech.qq.com/a/20170513/013226.htm
(3)安天公司: 安天緊急應對新型“蠕蟲”式勒索軟體“wannacry”全球爆發
<a href="https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=2650170534&idx=1&sn=dedc3ff25c3594b49bc4e6c53c9fd123&chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7&mpshare=1&scene=1&srcid=0513oXuWB6ySDTUPZUPpnWod#rd" target="_blank">https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=2650170534&idx=1&sn=dedc3ff25c3594b49bc4e6c53c9fd123&chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7&mpshare=1&scene=1&srcid=0513oXuWB6ySDTUPZUPpnWod#rd</a>
據BBC報道,今天全球很多地方爆發一種軟體勒索病毒,隻有繳納高額贖金(有的要比特币)才能解密資料和資料,英國多家醫院中招,病人資料威脅外洩,同時俄羅斯,意大利,整個歐洲,包括中國很多高校……
該勒索軟體是一個名稱為“wannacry”的新家族,該加密軟體采用流行的RSA和AES加密算法,截止目前還無法破解,或者是暴力破解的成本非常高,普通使用者基本無解,換句話說目前世界安全高手也無法解密該勒索軟體加密的檔案。
該勒索軟體利用MS17-101漏洞來攻擊全球主機,目前很多内網或者外網445端口基本是開放的,勒索軟體借鑒蠕蟲原理,利用了基于445端口傳播擴散的SMB漏洞,在早期的研究中我們已經發現,勒索軟體利用系統漏洞、Mysql以及Mssql資料庫漏洞以及其它一些高位漏洞,先行滲透,再感染,是以以前大家都覺得網絡安全離我很遠,現在就不能這麼看了,隻要你系統存在高位漏洞,就有可能被感染。
2.實際影響
(1)主動攻擊
(2)蠕蟲傳播,網絡傳播速度更快。截止目前很多内網已經淪陷。
(3)對ppt、word、pdf等文檔檔案進行加密。
(4)采用RSA和AES加密算法,經請教北京理工大學資訊安全專家張子劍博士,目前該算法破解時間耗費非常巨大,勒索軟體聲稱需要幾十年!其加密算法如下:
<a href="https://s2.51cto.com/wyfs02/M02/95/8D/wKioL1kWmunD8CRXAAD27xDlQwA538.jpg-wh_500x0-wm_3-wmp_4-s_2247549759.jpg" target="_blank"></a>
3.出現的情況
如果出現以下情況的圖檔說明已經被勒索軟體感染:
<a href="https://s1.51cto.com/wyfs02/M00/95/8D/wKioL1kWmxmxQCqKAADhUJjLsYY544.jpg-wh_500x0-wm_3-wmp_4-s_1232697932.jpg" target="_blank"></a>
<a href="https://s4.51cto.com/wyfs02/M01/95/8D/wKioL1kWmxfzf9XFAABqT3Q4EOM581.jpg-wh_500x0-wm_3-wmp_4-s_648951933.jpg" target="_blank"></a>
4.防範方法
(1)備份!備份!備份!一定要離線備份重要檔案。可以将備份檔案命名為mybak.ini檔案。
(2)開啟防火牆
(3)阻斷445端口
錦佰安公司給出了防範445端口的指令腳本(下載下傳位址:http://www.secboot.com/445.zip):
echo "歡迎使用錦佰安敲詐者防禦腳本"
echo "如果pc版本大于xp 伺服器版本大于windows2003,請右鍵本檔案,以管理者權限運作。"
netsh firewall setopmode enable
netsh advfirewallfirewall add rule name="deny445" dir=in protocol=tcp localport=445action=block
(4)所有程式都在虛拟機中運作。采用linux+windows虛拟機模式。文檔等資料及時進行備份,定期制作鏡像。
5.關閉危險的其他端口
(1)關閉135端口,在運作中輸入“dcomcnfg”,然後打開“組建服務”-“計算機”-“屬性”-“我的電腦屬性”-“預設屬性”-“在此計算機上啟用分布式COM”去掉選擇的勾。然後再單擊“預設協定”頁籤,選中“面向連接配接的TCP/IP”,單擊“删除”或者“移除”按鈕。
<a href="https://s4.51cto.com/wyfs02/M01/95/8E/wKioL1kWo83jTNGgAAF9w_-UY5Y560.jpg-wh_500x0-wm_3-wmp_4-s_257378507.jpg" target="_blank"></a>
圖4關閉135端口
(2)關閉139端口,139端口是為“NetBIOS Session Service”提供的,主要用于提供Windows檔案和列印機共享以及Unix中的Samba服務。 單擊“網絡”-“本地屬性”,在出現的“本地連接配接屬性”對話框中,選擇“Internet協定版本4(TCP/IPv4)”-“屬性”,輕按兩下打開“進階TCP/IP設定”-“WINS”,在“NetBIOS設定”中選擇“禁用TCP/IP上的NetBIOS”,如圖5所示。
<a href="https://s3.51cto.com/wyfs02/M02/95/8E/wKiom1kWo87gOnYiAACoX09GMns569.jpg-wh_500x0-wm_3-wmp_4-s_2173391855.jpg" target="_blank"></a>
圖5關閉139端口
(3)系統資料庫關閉445端口
在指令提示符下輸入“regedit”,依次打開“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”,在其中選擇“建立”——“DWORD值”,将DWORD值命名為“SMBDeviceEnabled”,并通過修改其值設定為“0”,如圖6所示。
<a href="https://s1.51cto.com/wyfs02/M00/95/8E/wKioL1kWo8-AfcEQAAErfgfyLZk318.jpg-wh_500x0-wm_3-wmp_4-s_411617894.jpg" target="_blank"></a>
圖6關閉445端口
(4)檢視端口是否開放
以後以下指令檢視135、139、445已經關閉。
netstat -an | find "445" | find"139" | find "135"
本文轉自 simeon2005 51CTO部落格,原文連結:http://blog.51cto.com/simeon/1925263