紧急安全预警--全球爆发勒索病毒“永恒之蓝”,小心你的电脑中招! 解决方案在此

-回复 -浏览
楼主 2019-12-03 11:42:19
举报 只看此人 收藏本贴 楼主

紧急安全预警!!!


昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。据360安全卫士紧急公告,不法分子使用NSA泄漏的黑客武器攻击Windows漏洞,把ONION、WNCRY等勒索病毒在校园网快速传播感染,建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御。


NSA黑客武器搭载的勒索病毒感染界面

昨晚11时,一位陈女士向快报爆料:大概一个小时前,杭州市下沙高教园区校园网被黑。学生电脑上的资料文档被锁,需要付费才能解锁。目前发现的有浙传,计量,理工大学……好多校区校园网都被黑了。


电脑受攻击界面↓↓↓

杭州师范大学一位同学电脑中病毒时电脑屏幕上跳出来的勒索信


唐同学是昨晚8点左右中病毒的。

    

他说:“晚上我在寝室电脑上在放视频,出去了一会,回来之后就发现电脑中招了。电脑桌面上显示了一封勒索信。这封信上,可以选择显示语言,中文、韩文、日文、英文都有。信上的内容大致是,想要解锁你电脑上的文档,请付300美金等价的比特币。上面还威胁说,一周之内不付款,就永远恢复不了文件了。”

   

“我关掉了病毒显示的窗口,但过了一会儿,病毒窗口又跳出来了。检查我的电脑,发现我电脑里包括word、MP3、ppt在内的文档,已经全部被锁定了。现在我也没办法了,准备重装系统,毕竟付不起这么多钱。只是可惜了我之前做的那些音乐。

   

“我的室友也中了同样的病毒。我们用的是同一个校园网,就是晚上上会断网的那种。”

  


浙江工商大学的程同学说:“这两天,在我朋友圈里很多人在说这个事情,很多人在抱怨,病毒锁定了电脑里的doc、ppt等格式的文档,没有办法打开文件了。我知道涉及的学校,有宁波大学,浙江中医药大学、浙江工商大学、浙江理工大学等等。”

  

据IT之家,病毒是全国性的,疑似通过校园网传播,十分迅速。

中招的网友遍布全国


昨天,很多大学的官方微博、微信已经发出了预警信息,说这段时间国内很多大学的校园网和同学的电脑都中病毒了。提醒大家不要点开来路不明的链接,装上杀毒软件。



李先生说,昨天下午三点左右,他在余杭区一家互联网公司走访,听到一位工作人员说,下午的时候,杭州一家世界级互联网公司的网络就受到黑客攻击,一直连不到服务器。下午4点,李先生离开时,服务器还没有连上。


  很多国家受到“勒索”软件攻击  



昨晚BBC发布消息称,目前全球范围内有大量的机构报告,受到了“勒索”软件的攻击,这些机构分别在美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。



英国多家医院昨天因大规模黑客攻击瘫痪

医院通知病人:病情不紧急不要来


 

据CNN报道,英国多家医院周五也因“大规模”的黑客攻击而瘫痪。手术被取消,救护车被迫转向其他医院。


医疗工作者报告说,他们的系统被锁定了,根本进不去。屏幕上有消息显示,要求他们支付“赎金”以重新开启。


昨夜0点@英国那些事儿 发微博称:

大事件,就在一个多小时以前,全英国上下16家医院遭到大范围网络攻击... 医院的内网被攻陷,电脑被锁定,电话也不通.... 黑客索要每家医院300比特币(接近400万人民币)的赎金,否则将删除所有资料.... 现在这 16家机构对外联系基本中断,内部恢复使用纸笔进行紧急预案.. 英国国家网络安全部门正在调查,现在攻击仍在进行中...


受攻击的界面都是一样的!

    

英国NHS(英国国家医疗服务体系)描述这起事件为“勒索”攻击。


至少有16个连接到NHS的机构受到影响。


“目前,调查还在早期阶段,但我们认为,恶意软件是Wanna Decryptor。”

    

NHS数字在一份声明中说,“现阶段,我们没有任何证据表明病人数据已被访问。我们将继续与受影响的机构合作,确认这一点。”


据法新社报道,周五(12日)伦敦、英格兰西北部和该国其他地区的医院正在报告计算机系统的问题。 医院要求病人除非是紧急情况,不要来医院。



西班牙大量公司受到攻击



路透社说,星期五早些时候,西班牙政府表示,西班牙也有大量的公司收到已经类似的攻击。这些公司包括电信巨头Telefonica和电力公司drola。



病毒源头:美国国家安全局



“勒索”软件利用的是微软操作系统的一个漏洞,而这个漏洞最早是美国国家安全局(NSA)发现的,美国国安局将其命名为“永恒之蓝”(EternalBlue)。


后来,一个名叫“影子经纪人”的黑客组织从美国国安局的黑客武器库那里窃取了密码,然后在网上公开售卖牟利。


4月8日,这个黑客组织免费公开了密码,理由竟是“抗议特朗普”。他们列举了五条“罪状”:1,(内阁亲近)高盛和军工利益集团;2,撤销奥巴马医改;3,攻击“自由党团”(共和党保守派);4,解除了班农的国安委职务;5,升级美国对外战争(攻打叙利亚)。


据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁(MS17-010),无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。


微软MS17-010安全补丁信息:


https://technet.microsoft.com/zh-cn/library/security/MS17-010




由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。


目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别约为5万元和2000元。


360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。


安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。


针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”( http://dl.360safe.com/nsa/nsatool.exe ),能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。


截止到记者发稿时,对于攻击的最新情况和响应建议,360企业安全集团安全专家汪列军向记者表示:




目前此次勒索软件在中国的影响已经远超出了校园网的范围,我们已经发现很多很多企业内网的重要服务器已经被加密,甚至已经严重影响到了企业的业务连续性。在响应措施方面,对于企业用户,我们建议可以通过漏扫对MS17-010漏洞相关的内容进行资产扫描,并第一时间进行安全补丁更新,减少可能的影响范围;如果操作系统已经不提供相应安全补丁,则建议暂时关停server服务。对于已经中招的个人,我们不建议支付赎金。因为即使收到赎金后攻击者想要给出解密的密钥,因为某些原因中招用户也未必能拿到。如果数据损失在可承受范围内,我们建议重装系统并进行数据备份和安全性更新。

澳洲时间今天凌晨,一种新型电脑病毒在全球疯狂传播,勒索比特币!目前超过74个国家的网络受到影响,中国多所高校校园网都中招了!澳洲,也未能幸免!




英国医院遭大规模黑客攻击



最先报道出的,是全英国上下多达25家医院和医疗组织遭到大范围网络攻击... 



医院的网络被攻陷,电脑被锁定,电话打不通.......黑客向每家医院索要300比特币(接近400万人民币)的赎金,如果3天之内没有交上,赎金翻倍,如果7天内没有支付,黑客将删除所有资料....



中了“勒索”病毒后,医疗机构纷纷发出紧急通知:如非必要,尽量不要联系医生!






中国大批高校校园网沦陷!




中国时间5月12日晚20点左右,国内有高校学生反映电脑被恶意的病毒攻击,文档被加密。在加密的位置显示的是如果想打开加密文件,必需花钱解锁,而且是花钱购买比特币解锁    

各大高校沦陷


很多大学的官方微博、微信已经发出了预警信息,说这段时间国内很多大学的校园网和同学的电脑都中病毒了。提醒大家不要点开来路不明的链接,装上杀毒软件。



继熊猫烧香事件后,黑客事件已经快在大众的视野中消除了,但从此次事件来看,波及的范围之广又将会把黑客事件拉回大家的视野。




全球超过75个国家网络被入侵



通过实时全球病毒监测网站:Malwaretech 显示,在不到14小时的时间里,全球已经有超过9万台电脑感染上了该“比特币”病毒!



澳洲,也未能幸免!




截至目前,受感染的电脑已经超过了9万5千台!





如何防范?




此次蔓延全球的病毒叫RansomWare(勒索病毒)通过邮件、网页,甚至手机入侵,加密锁定受害人的文件,只有交付赎金才能帮你解密。近些年经常出现,而且赎金通常都是以比特币的形式支付



比特币最早是一种网络虚拟货币,跟腾讯公司的Q币类似,但是已经可以购买现实生活当中的物品。


它的特点是分散化、匿名,不属于任何国家和金融机构,并且不受地域限制,也因此“最适合”被不法分子当做洗钱工具


这一次的病毒事件就是黑客利用了比特币没有痕迹的交易漏洞,从而可以轻松的坐收渔利。


以比特币交易网的最新价格为准,目前一个比特币的价值高达10504元,近乎天价,按照目前全球9万台的中毒电脑,这一次黑客的勒索金额总额完全是万亿的标准。





目前,国内各高校已经通过各种渠道发布了相关的控制办法,在此提醒广大校园网用户:


1、近期不要用电脑和手机登录校园网,谨防被病毒波及。


2、为计算机安装最新的安全补丁。根据纽约时报等多家媒体报道,病毒容易入侵win 10之前旧版本的电脑系统,但微软声称已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010。


3、关闭445、135、137、138、139端口,关闭网络共享。


4、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。 


4、备份!备份!备份!尽快备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。


更加详细的大家可以参考“黑客凯文”的微博:

https://m.weibo.cn/6038922387/4106737919121125





澳洲的小伙伴一定要提高警惕啊!病毒已经在澳洲发现了!从中国的高校情况来看,校园网可能是本次病毒袭击的重点目标之一!正值Final季,很多的同学辛辛苦苦写出的assignment, essay都存在电脑里!!这要是给黑了!!



勒索病毒来袭,小心你的电脑中招

2017-05-13 合天智汇

资料整理自:安天实验室、360安全检测和响应中心、网络信息安全工作组,并对此表示感谢!


5月12日起,大规模勒索病毒软件在全球蔓延,我国大量行业企业内网受到攻击,教育网受损严重,据悉,大量学校电脑感染勒索病毒,重要文件被加密。


这是不法分子利用NSA黑客武器库泄露的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件,远程控制木马、虚拟货币挖矿机等恶意程序。




1
风险等级


此次事件的风险评级为:危机


2
确认影响范围


扫描内网,发现所有开放445 SMB 服务端口的终端和服务器,对于win7及以上版本的系统确认是否安装了MS07—010 补丁,如没有安装则受威胁影响,win7以下windowsXP/2003目前没有补丁,只要开启SMB服务就受影响。


3
事件分析




经过安天CERT紧急分析,判定该勒索软件是一个名称为“WannaCry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

当系统被该勒索软件入侵后,弹出勒索对话框:



图 1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。



图 2 加密后的文件名

攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档”(该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击 <Decrypt> 按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。



图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。



图 4  28种语言

该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件:

c:\Users\gxb\Desktop\@Please_Read_Me@.txt

c:\Users\gxb\Desktop\@WanaDecryptor@.exe

c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk

c:\Users\gxb\Desktop\b.wnry

c:\Users\gxb\Desktop\c.wnry

c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry

c:\Users\gxb\Desktop\msg\m_chinese(simplified).wnry

c:\Users\gxb\Desktop\msg\m_chinese(traditional).wnry

c:\Users\gxb\Desktop\msg\m_croatian.wnry

c:\Users\gxb\Desktop\msg\m_czech.wnry

c:\Users\gxb\Desktop\msg\m_danish.wnry

c:\Users\gxb\Desktop\msg\m_dutch.wnry

c:\Users\gxb\Desktop\msg\m_english.wnry

c:\Users\gxb\Desktop\msg\m_filipino.wnry

c:\Users\gxb\Desktop\msg\m_finnish.wnry

c:\Users\gxb\Desktop\msg\m_french.wnry

c:\Users\gxb\Desktop\msg\m_german.wnry

c:\Users\gxb\Desktop\msg\m_greek.wnry

c:\Users\gxb\Desktop\msg\m_indonesian.wnry

c:\Users\gxb\Desktop\msg\m_italian.wnry

c:\Users\gxb\Desktop\msg\m_japanese.wnry

c:\Users\gxb\Desktop\msg\m_korean.wnry

c:\Users\gxb\Desktop\msg\m_latvian.wnry

c:\Users\gxb\Desktop\msg\m_norwegian.wnry

c:\Users\gxb\Desktop\msg\m_polish.wnry

c:\Users\gxb\Desktop\msg\m_portuguese.wnry

c:\Users\gxb\Desktop\msg\m_romanian.wnry

c:\Users\gxb\Desktop\msg\m_russian.wnry

c:\Users\gxb\Desktop\msg\m_slovak.wnry

c:\Users\gxb\Desktop\msg\m_spanish.wnry

c:\Users\gxb\Desktop\msg\m_swedish.wnry

c:\Users\gxb\Desktop\msg\m_turkish.wnry

c:\Users\gxb\Desktop\msg\m_vietnamese.wnry

c:\Users\gxb\Desktop\r.wnry

c:\Users\gxb\Desktop\s.wnry

c:\Users\gxb\Desktop\t.wnry

c:\Users\gxb\Desktop\taskdl.exe

c:\Users\gxb\Desktop\taskse.exe

该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:

 

加密如下后缀名的文件:

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP 

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK 

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

 

注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。


响应流程:


1. 查看445端口是否开放并决定是否关停server服务


点击“开始”->“运行”->输入“cmd”->输入“netstat -an ”->回车->查看445端口状态


如果处于“listening”->暂时关停server服务:


点击“开始”->搜索框输入“cmd”->右键菜单选择“以管理员身份运营”->执行“net stop server”命令


2. 个人用户临时解决方案


开启系统防火墙->利用系统防火墙高级设置阻止向445端口进行连接->安装相应系统安全更新


win7/win8/win10:


控制面板->系统与安全->启用Windows防火墙->点击"高级设置"->点击“入站规则”->选择"新建规则"->规则类型选择“端口”->应用于“TCP”协议 特定本地端口并输入“445”->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->罪责名称任意输入并点击完成


winxp:


控制面板->安全中心->启用“Windows防火墙”->点击“开始”->“运行”->输入“cmd”->依次执行“net  stop rdr”、“net  stop srv”和“net  stop netbt”三条命令->升级操作系统版本并进行安全更新




4
应急处理方案


  • 个人预防措施:

  1.未升级操作系统的处理方式(不推荐,仅能临时缓解):启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。

  2.升级操作系统的处理方式(推荐):建议广大师生使用自动更新升级到Windows的最新版本。

  • 学校缓解措施:

1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;

2.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

  •  建议加固措施:

1.及时升级操作系统到最新版本;

2.勤做重要文件非本地备份;

3.停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。


Win7、Win8、Win10的处理流程


1. 打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

 


2.选择启动防火墙,并点击确定


3.点击高级设置



4.点击入站规则,新建规则



5.选择端口、下一步


6. 特定本地端口,输入445,下一步


 7. 选择阻止连接,下一步


8. 配置文件,全选,下一步


9. 名称,可以任意输入,完成即可。


XP系统的处理流程


依次打开控制面板,安全中心,Windows防火墙,选择启用


点击开始,运行,输入cmd,确定执行下面三条命令

net stop rdr
net stop srv
net stop netbt

由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。


继续推荐祁同伟特别喜欢的故事——《天局》。这是一个棋痴与神仙下棋,以命相搏胜神仙半子的故事。读完真是酣畅淋漓,豪气万丈。

扫描二维码关注公众号后台回复“天局”二字,拿到这篇文章。


我要推荐
转发到

友情链接