高能警惕 電腦病毒全球性爆發
2017-05-15
事件概要
5月12日晚,國內有不少高校學生反映電腦被惡意的病毒攻擊,文檔被加密。源頭來自暗網,攻擊具備兼容性、多語言支持,多個行業受到影響,國內的ATM機、火車站、自助終端、郵政、醫院、政府辦事終端、視頻監控都可能遭受攻擊。據報道,全國多地的中石油加油站無法進行網絡支付,只能進行現金支付。中石油有關負責人表示,懷疑受到病毒攻擊,具體情況還在核查。而截至目前,一些公安系統已經遭到入侵。中招系統文檔、圖片資料等常見文件都會被病毒加密,然后向用戶勒高額比特幣贖金,并且病毒使用RSA非對稱算法,沒有私鑰就無法解密文件。
中招現象主要有兩點:
中招現象主要有兩點:
1、中招用戶系統彈出比特幣對話框;
2、用戶文件被加密,后綴為“wncry”。
軟件利用美國安全局黑客武器庫泄露的ETERNALBLUE(永恒之藍)發起病毒攻擊。遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用黑客工具包有關。其中ETERNALBLUE模塊是SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器,實現遠程命令執行。 蠕蟲軟件正是利用服務器漏洞,通過2008 R2滲透到未打補丁的Windows XP版本計算機中,實現大規模迅速傳播。 一旦你所在組織中一臺計算機受攻擊,蠕蟲會迅速尋找其他有漏洞的電腦并發起攻擊。
處置措施
第1步:立即修復漏洞、升級補丁
請盡快為電腦安裝MS17-010漏洞補丁,網址https://technet.microsoft.com/zh-cn/library/security/MS17-010,對于XP、2003等微軟已不再提供安全更新的機器,安裝XP和部分服務器版WindowsServer2003特別安全補丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能補丁升級,請采用以下緊急處理措施:關閉445、137、138、139端口,關閉網絡共享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暫不能補丁升級,請采用以下緊急處理措施:關閉445、137、138、139端口,關閉網絡共享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
第2步:軟件自檢、查殺
建議直接升級殺毒軟件病毒庫進行檢測及查殺,其他輔助檢測方法勒蠕蟲終端自檢查殺工具下載地址:http://www.antiy.com/response/wannacry/ATScanner.zip
第3步:如已中招,文件恢復嘗試
如果已經不幸中招,可使用360勒蠕蟲病毒文件恢復工具,嘗試進行文件恢復。工具下載地址:https://dl.360safe.com/recovery/RansomRecovery.exe
上一篇:“活力泰瑞 健康你我”晨跑活動
下一篇:公司召開ERP項目啟動大會
