新聞中心

聯系我們

地址:上(shàng)海市闵行(xíng)區(qū)莘東路505号綠捷中心10樓1005室
熱線:400-8838-021
傳真:02154855973
E-maizjedwine@163.com

首頁 » 新聞中心

關于Windows操作(zuò)系統

2017/5/14 1:29:23 點擊:2852 來(lái)自:admin
 北京時(shí)間(jiān)5月12日20時(shí)左右,互聯網上(shàng)出現針對Windows操作(zuò)系統的勒索軟件(WannaCry想哭)攻擊案例。勒索軟件利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行(xíng)滲透傳播,并向用戶勒索比特币或其他價值物,包括高(gāo)校(xiào)、能源等重要信息系統在內(nèi)的多(duō)個(gè)國內(nèi)用戶受到攻擊,已對我國互聯網絡構成較為(wèi)嚴重的安全威脅。

一、勒索軟件情況

綜合CNCERT和(hé)國內(nèi)網絡安全企業(奇虎360公司、安天公司等)已獲知的樣本情況和(hé)分析結果,該勒索軟件在傳播時(shí)基于445端口并利用SMB服務漏洞(MS17-010),總體(tǐ)可(kě)以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導緻的後續黑(hēi)産攻擊威脅。4月16日,CNCERT主辦的CNVD發布《關于加強防範Windows操作(zuò)系統和(hé)相關軟件漏洞攻擊風險的情況公告》,對影(yǐng)子紀經人(rén)“Shadow Brokers”披露的多(duō)款涉及Windows操作(zuò)系統SMB服務的漏洞攻擊工具情況進行(xíng)了通(tōng)報(相關工具列表如下),并對有(yǒu)可(kě)能産生(shēng)的大(dà)規模攻擊進行(xíng)了預警:

有(yǒu)可(kě)能通(tōng)過445端口發起攻擊的漏洞攻擊工具

工具名稱 主要用途

ETERNALROMANCE  SMB 和(hé)NBT漏洞,對應MS17-010漏洞,針對139和(hé)445端口發起攻擊,影(yǐng)響範圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD  SMB和(hé)NETBIOS漏洞,對應MS10-061漏洞,針對139和(hé)445端口,影(yǐng)響範圍:Windows XP、Windows 2003

EDUCATEDSCHOLAR SMB服務漏洞,對應MS09-050漏洞,針對445端口

ERRATICGOPHER SMBv1服務漏洞,針對445端口,影(yǐng)響範圍:Windows XP、 Windows server 2003,不影(yǐng)響windows Vista及之後的操作(zuò)系統

ETERNALBLUE SMBv1、SMBv2漏洞,對應MS17-010,針對445端口,影(yǐng)響範圍:較廣,從WindowsXP到Windows 2012

ETERNALSYNERGY SMBv3漏洞,對應MS17-010,針對445端口,影(yǐng)響範圍:Windows8、

Server2012

ETERNALCHAMPION SMB v2漏洞,針對445端口

 

當用戶主機系統被該勒索軟件入侵後,彈出如下勒索對話(huà)框,提示勒索目的并向用戶索要比特币。而對于用戶主機上(shàng)的重要文件,如:照片、圖片、文檔、壓縮包、音(yīn)頻、視(shì)頻、可(kě)執行(xíng)程序等幾乎所有(yǒu)類型的文件,都被加密的文件後綴名被統一修改為(wèi)“.WNCRY”。目前,安全業界暫未能有(yǒu)效破除該勒索軟的惡意加密行(xíng)為(wèi),用戶主機一旦被勒索軟件滲透,隻能通(tōng)過重裝操作(zuò)系統的方式來(lái)解除勒索行(xíng)為(wèi),但(dàn)用戶重要數(shù)據文件不能直接恢複。

 

二、應急處置措施

建議廣大(dà)用戶及時(shí)更新Windows已發布的安全補丁更新,同時(shí)在網絡邊界、內(nèi)部網絡區(qū)域、主機資産、數(shù)據備份方面做(zuò)好如下工作(zuò):

(一)關閉445等端口(其他關聯端口如: 135、137、138、139)的外部網絡訪問權限,在服務器(qì)上(shàng)關閉不必要的上(shàng)述服務端口(參見附件1);

(二)加強對445等端口(其他關聯端口如: 135、137、138、139)的內(nèi)部網絡區(qū)域訪問審計(jì),及時(shí)發現非授權行(xíng)為(wèi)或潛在的攻擊行(xíng)為(wèi);

(三)及時(shí)更新操作(zuò)系統補丁;

(四)安裝殺毒軟件并及時(shí)更新到最新版本;

(五)不要輕易打開(kāi)來(lái)源不明(míng)的電(diàn)子郵件;

(六)定期在不同的存儲介質上(shàng)備份信息系統業務和(hé)個(gè)人(rén)數(shù)據。

 

附工具:
1、Windows系列補丁鏈接:http://pan.baidu.com/s/1kVLrVJD
2、免疫工具和(hé)清除工具:http://pan.baidu.com/s/1sl8UyHv

備注:

(1)清除工具可(kě)以對已經感染的主機進行(xíng)勒索軟件的清除,但(dàn)無法恢複已經被加密的文件。

(2)免疫工具提供禁用系統服務、修改hosts文件、設置ipsec本地組策略等多(duō)種方式對蠕蟲勒索軟件WannaCry感染傳播途徑進行(xíng)有(yǒu)效阻斷,實現主機免疫功能。

 

三、服務電(diàn)話(huà)

24小(xiǎo)時(shí)服務電(diàn)話(huà):13916831235(小(xiǎo)向) 718758(公安短(duǎn)号)

餘小(xiǎo)麗(lì) 15800701516

江麗(lì) 13482782985

技(jì)術(shù)服務電(diàn)話(huà):

金國光:15355370221

金繼華:13621908274

服務監督電(diàn)話(huà):

杜衛明(míng)15801806067

 

四、我們将持續關注

上海宗飛網絡科技有限公司

2017年5月13日

上(shàng)一篇:網絡安全大(dà)變局:從防禦到亮劍  

下一篇:習近平在網絡安全和(hé)信息化工作(zuò)座談會(huì)上(shàng)的講話(huà)