当前位置: 首页 > 手机报专栏  
 
数字化学习手机报第98期
【编辑】: djxx 【日期】: 2017-5-25 15:52:00
 

logo2

98

办:教育技术与信息中心

2017522

001

?WannaCry病毒爆发事件背景简介

?我校应对WannaCry勒索病毒的措施与阶段性成果

?个人用户的应对方法

002

WannaCry病毒爆发事件背景简介

201751220时,新型“蠕虫”式勒索病毒WannaCry在全球多地爆发。磁盘文件会被病毒加密为.wncry后缀,通过支付高额赎金才能解密恢复文件。目前,此病毒尚未发现有效查杀方法,只能预防。

http://wx1.sinaimg.cn/crop.0.0.817.459.1000/441b4e02ly1ffkqwlmrmnj20mp0fp3zu.jpg

(图:受感染的电脑提示界面)

2  病毒传播机理:

本次爆发勒索病毒事件是不法分子通过改造之前泄露的NSA(美国国家安全局)黑客武器库中“EternalBlue”(永恒之蓝)攻击程序发起的网络攻击事件。

永恒之蓝其实是利用了微软的MS17-010漏洞。MS17-010Windows系统一个底层服务的漏洞,通过这个漏洞可以影响445端口(文件共享端口)。3月份微软曾发出过紧急修复补丁,但是并未给企业和机构敲响警钟,大量的企业和组织并没有及时安装补丁。

“永恒之蓝” 远程扫描并攻击Windows系统的445端口,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。被控制的电脑又会去扫描其他电脑,最终以多米诺骨牌的方式不断感染其他电脑。

2  病毒危害与特点:

“永恒之蓝”传播的勒索病毒以ONIONWNCRY两个家族为主。电脑中毒后的表现是:受害机器的磁盘文件会被篡改为相应的后缀(.onion.wncry),图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。而“赎金”是以难以被追踪的虚拟货币比特币的形式结算,因而它又被简称为“勒索病毒”。这两类勒索病毒的勒索金额分别是5个比特币和与300美元等值的比特币,折合人民币分别为5万多元和2000多元。

目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复 。

不过,该勒索蠕虫利用的是Windows系统漏洞,受影响的系统是从Windows 2000Windows10,以及Windows Server 2000Windows Server 2016的各个版本。至于UnixLinuxAndroid等系统都不会受影响,手机等终端不会被攻击,用户不必过于惊慌。

2  病毒波及范围:

这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。这波攻击来势汹汹,席卷了全球150多个国家,数千家企业和机构、超过30万台设备受到影响,波及范围之广、影响之大超乎想象。

最早被曝感染病毒的是西班牙,随后短短三小时内,德国、法国、俄罗斯、美国、越南、印度尼西亚、菲律宾、中国台湾、哈萨克斯坦、乌克兰等多个地区都被波及。

一文看懂“勒索病毒”肆虐全球的来龙去脉

(图:512~14日全球各地爆发勒索蠕虫病毒感染的情况

卡巴斯基实验室数据显示,俄罗斯、乌克兰、印度和中国台湾是受WannaCry勒索病毒影响最严重的地区。直到513日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。

2017514日,国家网络与信息安全信息通报中心发出就勒索病毒发布紧急通报:监测发现,WannaCry 勒索病毒出现了变种WannaCry 2.0。 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

在此次事件中,中国遭受不小影响。据360安全卫士监测数据显示,仅512日至13日间,我国就已出现29000余个感染WNCRY1.0勒索病毒的IP,其中涉及教育科研、生活服务及交通运输等多个行业。部分ATM和加油站和支付系统也受到影响。不过由于各大安全厂商、业务部门都积极推出防御方案,之前被业界广泛担忧的国内机构被大规模感染的状况并没有出现。

360孙晓骏:“勒索病毒”攻击感染双下降

(图:国内机构感染永恒之蓝勒索蠕虫的行业分布比例)

(编委:王瑛)

004

我校应对WannaCry勒索病毒的措施与阶段性成果

2017513日(周六),我校教育技术与信息中心接到相关通报后,第一时间排查学校网络,采取防范措施:在出口防火墙、服务器防火墙关闭445135137139等端口,防止外网传入;在4台核心交换机上关闭445等端口,防止内网传染。

在勒索病毒爆发后的第一个工作日515日(周一),我校教育技术与信息中心在数字化校园门户上发布《关于防范WannaCry勒索病毒攻击的紧急通知》(http://ec.szpt.edu.cn/oa/info/infoShowAction.do?method=getInformation&id=8ae45ca95b127492015c074bc7d368ac),并转发深圳市网络与信息安全信息通报中心《关于加强对wana新型勒索病毒防范工作的紧急通知》(http://ec.szpt.edu.cn/oa/info/infoShowAction.do?method=getInformation&id=8ae45c8b5b1285c2015c09b3bd7c4aca),为校园网内个人用户做好充分安全措施提供具体指引,并开放学校FTP服务器,提供MS17-010系统补丁与漏洞检测工具的下载。

2017518日下午1543分,教育技术与信息中心在西丽湖校区信息楼305-1公用机房发现一台电脑感染WannaCry勒索病毒,已经采取了相关技术处理,并第一时间在数字化校园门户上发布《关于进一步加强防范WannaCry勒索病毒的紧急通知(http://ec.szpt.edu.cn/oa/info/infoShowAction.do?method=getInformation&id=8ae45c8b5b1285c2015c1f2e8f5f7c1a),通报相关情况,提醒广大校园网用户提高警惕,做好防御措施。

教育技术与信息中心会持续跟进此次病毒爆发情况,积极应对,把病毒对广大师生的影响降到最低。

(编委:陈涛、王瑛)

004

个人用户的应对方法

2  第一时间需要完成的事情:

为了防止WannaCry勒索病毒的变种绕过445端口进行攻击,请广大校园网Windows用户积极采取措施保障本机安全:

1. Win7及以上版本的系统:在微软官网下载补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx,也可在学校FTP服务器下载,地址为ftp://10.1.254.171/MS17-010补丁。

2. Win XP2003等低版本系统:微软已不再提供安全更新,建议关闭445135137138139端口,关闭网络共享功能;或使用360NSA武器库免疫工具”,下载地址:http://dl.360safe.com/nsa/nsatool.exe

3.漏洞检测:打好补丁后,可以检测本机存不存在漏洞,在ftp://10.1.254.171/EternalBlueFix下载,运行NSAScan.exe

4、重要业务系统应立即进行数据备份,同时推荐个人用户及早备份重要数据到U盘和移动硬盘上。

5已感染病毒的机器,请立即断网,并电话联系陈涛158894384710755-26731207

图片2.png

(图:电脑不幸感染勒索病毒后的正误2种做法)

2  从长远角度看需要坚持的事情:

1.  安装并及时更新杀毒软件。使用U盘时,应先进行全面扫描。

2.  及时更新操作系统和应用程序到最新的版本。

3.  加强电子邮件安全,不要轻易打开来源不明的电子邮件。建议删除收到的可疑电邮,尤其是包含链接或附件的。

4.  安装正版操作系统、Office软件等。下载软件使用手机、电脑的官方软件下载平台。

5.  定期在不同的存储介质上备份计算机上的重要文件。

6.任何个人不得从互联网下载病毒文件或带病毒文件的U盘、硬盘等存储介质进行实验。

(编委:陈涛、王瑛)

主办:教育技术与信息中心

本期主编:李文莉


 共1页  1 
Copyright @ 2001-2012 深圳职业技术学院 教育技术与信息中心 All Rights Reserved.
地址:深圳市南山区西丽湖沙河西路4089号
Add :Room 4089 , Shahe West Road , Xili Streets , Nanshan District , Shenzhen City , Guangdong , China