中国领先的IT技术网站
|
|
创建专栏

【已出解决应对方案】勒索软件“wannacry”的对策与启示

今天,整个虚拟网络世界就开始出现一种名为wannacry的灾害。他们绑架并加密我们的信息,威胁我们交出比特币。

作者:柯力士信息安全|2017-05-15 12:05

5月13日,母亲节前夕,一觉睡起来,整个虚拟网络世界就开始出现一种名为wannacry的灾害。他们绑架并加密我们的信息,威胁我们交出比特币。界面如下。

勒索软件“wannacry”界面

什么?全是英文看不懂?这威胁软件还有中文版的哦。

勒索软件“wannacry”界面

目前已经有多家高校紧急向安全中心求助,喵的你看这勒索软件多恶毒,专门挑假日和毕业论文上交的时间爆发。高校机房一旦有一台被感染,其后果不堪设想。

所以我们要正确认识这勒索软件的本质,和制定防御对策。

此类勒索病毒传播扩散利用了基于445端口的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。此次远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的EquationGroup(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序,可以攻击开放了 445 端口的 Windows机器,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。

据统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还在迅速扩大。

此次利用的SMB漏洞影响以下未自动更新的操作系统:

Windows XP / Windows 2000 / Windows 2003

Windows Vista / Windows Server 2008 / WindowsServer 2008 R2

Windows 7 /Windows 8 / Windows 10

Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016

个人预防措施:

1.未升级操作系统的处理方式(不推荐,仅能临时缓解):

启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。

2.升级操作系统的处理方式(推荐):

建议用户使用自动更新升级到Windows的最新版本。

学校缓解措施:

1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;

2.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

建议加固措施:

1.及时升级操作系统到最新版本;

2.勤做重要文件非本地备份;

3.停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

真*对策!!

上面说的解决方案都很棒棒的,而且很有道理的,但是我们并不是只能被动防御。对该勒索软件的研究也应该同步进行。别一看到这加密的界面就害怕了。

其实这东西挺纸老虎的。

假如不幸遇到,嗯就上面那个框的加密勒索软件。请务必不要做什么其他的骚操作。你只需要:

  • 先断个网。
  • 开启windows防火墙。
  • 在断网状态下运行某些联网程序,如Windows时间同步之类的。
  • 同步当然会失败,然后你修改系统时间至1年之后。
  • 这个勒索软件……就无响应并且失效了。

经验证,该方法对win7 8 10系统皆有效果。(截止至发文前的勒索软件版本都可用此方法解决。)时间2017.5.13 16:30 如遇险情请及时修复,如不可用请等待我们的最新解决办法。

【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】

戳这里,看该作者更多好文

【编辑推荐】

  1. 清除勒索软件作战方案
  2. 坚持公益,这家漏洞平台合众白帽之力守卫互联网安全
  3. 漏洞到底值多少钱?
  4. 世界漏洞分析挖掘专家4月聚集韩国ZeroCon
  5. Chkrootkit 0.49本地提权漏洞利用与防范研究
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

× 大数据高端培训 仅限10人