2017年5月12日起,在國内外網絡中發現爆發基于Windows網絡共享協定進行攻擊傳播的蠕蟲惡意代碼,這是通過改造之前洩露的NSA黑客武器庫中“永恒之藍”攻擊程式發起的網絡攻擊事件。
目前發現的蠕蟲會掃描開放445檔案共享端口的Windows機器,無需使用者任何操作,隻要開機上網,就會被在電腦和伺服器中植入執行勒索程式、遠端控制木馬、虛拟貨币挖礦機等惡意程式。
企業内網、IDC、教育網絡等所有開放445 SMB服務端口且沒有及時安裝安全更新檔的用戶端和伺服器系統都将面臨此威脅。企業内網将是受本次攻擊事件影響的重災區。
緊急防範辦法:
目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫,為企業安全強烈建議網絡管理者在網絡邊界的防火牆上阻斷445端口的通路,如果邊界上有IPS和防火牆之類的裝置,請更新裝置的檢測規則到最新版本,直到确認網内的電腦已經安裝了MS17-010更新檔或關閉了Server服務。
檢查系統是否開啟Server服務的方法:
1、打開 開始 按鈕,點選 運作,輸入cmd,點選确定
2、輸入指令:netstat -an 回車
3、檢視結果中是否還有445端口
如果發現445端口開放,需要關閉Server服務,以Win7系統為例,操作步驟如下:
點選 開始 按鈕,在搜尋框中輸入 cmd ,右鍵點選菜單上面出現的cmd圖示,選擇 以管理者身份運作 ,在出來的 cmd 視窗中執行 “net stop server”指令,會話如下圖:
還需停止
net stop rdr
net stop srv
net stop netbt
根治手段
目前微軟已釋出更新檔MS17-010修複了“永恒之藍”攻擊的系統漏洞,請立即電腦安裝此更新檔。對于Win7以下版本的作業系統,微軟已經不提供安全更新檔支援,可以使用建議的緊急防範辦法來處理。
微軟更新檔下載下傳及檢視位址:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
快速應急處置建議
對于Windows XP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,并關閉受到漏洞影響的端口,可以避免遭到勒索軟體等病毒的侵害。免疫工具下載下傳位址:http://dl.360safe.com/nsa/nsatool.exe