勒索病毒现变种 西安市网信办—— 建议今日上班 先断网再开机
5月14日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
据国家互联网应急中心称,5月15日是重要的我国计算机的考验关口,勒索软件网络攻击大规模爆发于北京时间12日晚8点左右,当时国内有大量机构和企业的网络节点已关机,因此15日开机将面临安全考验。同时,该勒索软件对于企业局域网或内网的主机系统破坏性尤其严重。由于大量内网主机没有及时更新补丁或使用XP系统,因此一旦有一台主机被感染,将造成网内大规模扩散。
为避免周一上班后刚开机就被病毒感染,导致硬盘所有文件被恶意加密,西安市网信办建议公众在周一开机前先断网,并按序开展以下病毒防护操作:
1.断网。拔下网线!
2.咨询本单位网络安全管理员,索取Windows补丁安装光盘(MS17-010补丁)。
3.开机。
4.使用光盘安装windows补丁。
5.用其他介质(光盘、U盘等)备份电脑里的重要文件。
6.确认445端口关闭。本机cmd窗口执行命令"netstat -ano | findstr "445"",回车后无任何返回。
7.确认光盘补丁已经安装完毕后,再联网检查更新打补丁。这几天微软补丁更新服务器访问流量太大,连接速度很慢,请大家多试几次。
8.单位网络安全管理员请立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
西安市网信办建议广大用户要及时更新Windows已发布的安全补丁,在网络边界、内部网络区域、主机资产、数据备份方面关闭445、135、137、139等端口(可以认为是计算机与外界通讯的出口)的外部网络访问权限,加强这些端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;安装并及时更新杀毒软件;不要轻易打开来源不明的电子邮件;并定期在不同的存储介质上备份信息系统业务和个人数据。 (王信)
参考链接:
[1] 微软发布MS17-010系统漏洞修复补丁:
https://technet.microsoft.com/zh-cn/library/security/MS17-010;
[2] 微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-WannaCrypt-attacks/
[3] 安天蠕虫勒索软件专杀工具(WannaCry)
http://www.antiy.com/response/WannaCry/ATScanner.zip
新闻链接
欧盟警方:
勒索软件网络袭击可能进一步升级
欧盟刑警组织负责人罗布·温赖特14日表示,12日开始的勒索软件网络袭击目前已经波及150多个国家的10万多家机构,至少20万人受害,未来还可能进一步升级。他呼吁所有机构必须认真对待网络安全威胁,及时更新升级电脑系统。
温赖特当天在接受英国独立电视台采访时表示,本次网络袭击在全球范围内达到了“史无前例的级别”,目前已经造成150多个国家的至少20万人受害,其中不乏大型企业用户。最令人担忧的是,当人们周一(15日)上班打开电脑时,受害者人数可能还将持续上升。
英国公共卫生部门首当其冲,12日遭到大规模袭击。黑客植入的勒索软件感染了英国部分医院和卫生部门电脑上的文件并且进行加密,要求支付赎金。这致使许多医院和诊所瘫痪,被迫用救护车把紧急病人转送到不受影响的医院。许多病人无法及时就诊,常规手术纷纷临时取消。
英国内政大臣安伯·拉德13日说,全国有45个公共医疗机构遭到黑客病毒攻击,但病人数据未被盗取。她敦促相关机构吸取教训,重视网络安全问题,及时升级过时的系统。国防大臣迈克尔·法伦14日在接受媒体采访时也表示,他们此前曾多次警告医疗机构可能面临网络袭击,但没有引起重视。
温赖特警告说,许多国家的医疗机构在面对网络袭击时非常脆弱,因为他们往往用过时的电脑系统处理大量敏感数据。而以往是网络犯罪头号目标的欧洲银行业本次几乎没有受到影响,因为他们汲取了足够的经验。他呼吁所有机构优先考虑网络安全问题并及时更新系统。
温赖特说,欧盟刑警组织将与美国联邦调查局合作追查本次网络袭击的罪魁祸首。他们目前倾向于认为这起袭击是刑事犯罪的可能性大于恐怖袭击,并且应该是团伙作案,但要找出幕后元凶可能“非常困难”,因为罪犯在互联网上很容易隐匿自己的行踪。他说,目前值得庆幸的是只有极少数受害者向罪犯支付了赎金,所以背后的犯罪团伙并没有从中攫取太多利益。
延伸阅读
花8.5英镑注册域名
英小伙“意外”阻拦勒索软件传播
全球近百个国家和地区12日遭受勒索软件攻击,英国公共卫生体系、法国第二大汽车制造商雷诺集团等均受波及。不过,这种软件并非没有弱点,英国一名年轻网络工程师13日“无意中”阻拦了勒索软件的疯狂传播。
英国媒体13日报道,这名22岁的英国网络工程师12日晚注意到,这一勒索软件正不断尝试进入一个极其特殊、尚不存在的网址,于是他顺手花8.5英镑(约合75元人民币)注册了这个域名,试图借此网址获取勒索软件的相关数据,了解传播范围。令人不可思议的是,此后勒索软件在全球的进一步蔓延竟然得到了阻拦。
他和同事分析,这个奇怪的网址很可能是勒索软件开发者为避免被网络安全人员捕获所设定的“检查站”,而注册网址的行为无意触发了程序自带的“自杀开关”。也就是说,勒索软件在每次发作前都要访问这个不存在的网址,如果网址继续不存在,说明勒索软件尚未引起安全人员注意,可以继续在网络上畅行无阻;而一旦网址存在,意味着软件有被拦截并分析的可能。在这种情况下,为避免被网络安全人员获得更多数据甚至反过来加以控制,勒索软件会停止传播。
这位年轻的工程师在推特发帖说:“我坦白,在我注册这个域名之前,完全不知道它能停止这次恶意软件的传播。事情的开始完全是个意外!”
不过,这名英国网络工程师和一些网络安全专家都表示,这种方法目前只是暂时阻止了勒索软件的进一步发作和传播,但帮不了那些勒索软件已经发作的用户,也并非彻底破解这种勒索软件,新版本的勒索软件很可能不带这种“自杀开关”而卷土重来,用户应当尽快更新电脑系统的安全补丁。
这款名为“想解密”(又称“想哭”)的勒索软件感染电脑后,会将电脑文件加密锁住,支付黑客赎金后方能解密恢复。截至13日,英国有超过40家医疗机构受到此次网络攻击影响,多家医院不得不停止接收病人。网络专家指出,英国绝大多数公立医院电脑仍安装老旧的微软“视窗XP”操作系统,也未及时更新安全补丁,因此在这次恶意攻击中不堪一击。
法国雷诺集团13日向媒体表示,该集团也受到本轮网络攻击,已暂停法国境内多家工厂的生产工作,避免勒索软件进一步蔓延。罗马尼亚最大的汽车制造企业、雷诺旗下的达契亚汽车厂当天也宣布,该厂因信息系统遭到勒索软件攻击而部分停产。
欧盟刑警组织下属的欧洲网络犯罪中心13日表示,此次勒索软件攻击的规模之大前所未有,需要通过复杂的国际调查寻找犯罪嫌疑人,欧盟刑警组织已和多国展开合作对此次攻击展开调查。
俄罗斯网络安全企业卡巴斯基实验室说,这次网络攻击所用的黑客工具“永恒之蓝”来源于美国国家安全局的网络武器库。今年4月,黑客组织“影子经纪人”在网上披露一批美国国安局的黑客工具,其中就包括这个漏洞工具。
本组文/图除署名外据新华社、东方IC
新闻推荐
从警务大厅到银行网点,以前要花费半天都不一定能处理好的交通违章缴费,现在进入“西安交警”微信服务号,仅需19秒即可完成一例交通违法的处理和罚金的缴纳。为了实现让群众少跑腿甚至不跑腿...
西安新闻,弘扬社会正气。除了新闻,我们还传播幸福和美好!因为热爱所以付出,光阴流水,不变的是西安这个家。