5月12日,中國高等教育學會教育信息化分會網絡信息安全工作組(安全工作組)接到多所高校報告,反映大量學校電腦感染勒索病毒,重要文件被加密,類似下圖所示。
經過初步調查,此類勒索病毒傳播擴散利用了基於445端口的SMB漏洞,部分學校感染臺數較多,大量重要信息被加密,只有支付高額的比特幣贖金才能解密恢復文件,損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的EquationGroup(方程式組織)使用黑客工具包有關。其中的ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器,實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁,修復了ETERNALBLUE所利用的SMB漏洞。目前基於ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳,除了捆綁勒索病毒,還發現有植入遠程控制木馬等其他多種遠程利用方式。
根據360公司的統計,目前國內平均每天有不低於5000臺機器遭到基於ETERNALBLUE的遠程攻擊,並且攻擊規模還在迅速擴大。
被電腦勒索病毒攻擊的典型:
此次利用的SMB漏洞影響以下未自動更新的操作系統:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
個人預防措施:
1.未升級操作系統的處理方式(不推薦,僅能臨時緩解):
啟用並打開“Windows防火墻”,進入“高級設置”,在入站規則裏禁用“文件和打印機***享”相關規則。
2.升級操作系統的處理方式(推薦):
建議廣大師生使用自動更新升級到Windows的最新版本。
學校緩解措施:
1.在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接;
2.在校園網絡核心主幹交換路由設備禁止135/137/139/445端口的連接。
建議加固措施:
1.及時升級操作系統到最新版本;
2.勤做重要文件非本地備份;
3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。