?

May 13 2017

比特幣蠕蟲勒索病毒侵入中國各大高校及企業,手把手教小白如何防范

首頁 » 業界見聞 » 比特幣蠕蟲勒索病毒侵入中國各大高校及企業,手把手教小白如何防范   

注意:從5月12號晚上8點左右 我國正在大規模傳播勒索軟件,本次攻擊定位目標為全國各地高校、教育網、企業

病毒傳播范圍

8090安全門戶有不少小伙伴投稿稱,在昨晚,也就是20點左右,國內部分高校學生反映電腦被病毒攻擊,文檔被加密。攻擊者稱需支付比特幣解鎖。據悉,病毒是全國性的,疑似通過校園網傳播,十分迅速。目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院以及廣西等地區的大學。另外有網友反映,大連海事大學、山東大學等也受到了病毒攻擊。

IT之家提請各地區校園學子,請趕緊備份重要文件以免遭到勒索,特別是應屆畢業生,論文一定要備份好!從目前的情況來看,病毒似乎還在擴散,8090安全小組將會持續關注。另悉,英國多家公立醫院也疑似遭到相同病毒的攻擊。

Wannacry病毒淺析分析

(被Wannacry病毒攻擊的截圖1)

(被Wannacry病毒攻擊的截圖2)

(被Wannacry病毒攻擊的截圖3)

這是一款叫做:Wannacry 的蠕蟲勒索軟件,這被認為是迄今為止最巨大的勒索交費活動,繼熊貓燒香之后又一種惡性蠕蟲病毒,這次是利用445端口傳播的。影響到近百個國家上千家企業及公共組織。 該軟件被認為是一種蠕蟲變種(也被稱為“Wannadecrypt0r,”wannacryptor’或’ wcry”)。 像其他勒索軟件的變種一樣,WannaCry也阻止用戶訪問計算機或文件,同時系統中的 圖片、視頻、音頻、壓縮包、可執行軟件 都被此勒索軟件以AES+RSA的加密算法加密。加密文件的內容都是以“WANACRY”開頭,文件后綴名統一被改成了“WNCRY”  。 對學習資料和個人數據造成了嚴重的損失

一旦電腦感染了Wannacry病毒,受害者要高達300美元的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。 

研究人員還發現了大規模惡意電子郵件傳播,以每小時500封郵件的速度傳播杰夫勒索軟件,攻擊世界各地的計算機。 

Wannacry病毒漏洞傳播詳解:

軟件利用美國國家安全局黑客武器庫泄露的“永恒之藍”發起病毒攻擊。其實,微軟已經在三月份發布相關漏洞MS17-010修復補丁,大多用戶并沒有進行修復更新,因此遭到此次嚴重的攻擊。 

蠕蟲軟件利用微軟Windows SMB服務器漏洞,通過2008 R2滲透到未打補丁的Windows XP版本計算機中,因而可以大規模迅速傳播。 一旦你的組織中一臺計算機受攻擊,蠕蟲會迅速尋找其他有漏洞的電腦并發起攻擊。


Wannacry病毒防范建議及修復方案:

本次攻擊涉及MS17-010上文也講了。我們可以采用以下方案進行解決

漏洞名稱:Microsoft Windows SMB遠程任意代碼執行漏洞 (MS17-010)

包含如下CVE:

CVE-2017-0143 嚴重 遠程命令執行

CVE-2017-0144 嚴重 遠程命令執行

CVE-2017-0145 嚴重 遠程命令執行

CVE-2017-0146 嚴重 遠程命令執行

CVE-2017-0147 重要 信息泄露

CVE-2017-0148 嚴重 遠程命令執行

漏洞描述:

SMBv1 server是其中的一個服務器協議組件。

Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。

遠程攻擊者可借助特制的數據包利用該漏洞執行任意代碼。

以下版本受到影響:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。


解決方案:

1.關閉TCP445端口(幫助

2.使用 Windows Update 進行系統更新win7系統更新幫助)(win10系統更新幫助

3.關閉SMBv1服務

3.1 適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于客戶端操作系統:

打開“控制面板”,單擊“程序”,然后單擊“打開或關閉 Windows 功能”。

在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復選框,然后單擊“確定”以關閉此窗口。

重啟系統。

3.2 對于服務器操作系統:

打開“服務器管理器”,單擊“管理”菜單,然后選擇“刪除角色和功能”。

在“功能”窗口中,清除“SMB 1.0/CIFS 

文件共享支持”復選框,然后單擊“確定”以關閉此窗口。

重啟系統。

3.3適用于運行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注冊表

新建項︰ SMB1,值0

重新啟動計算機即可


關于影響的操作系統范圍和對應的補丁號碼詳情請見:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

轉載  http://www.8090-sec.com/index.php/archives/8231

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽:這篇文章木有標簽

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «WanaCrypt0r勒索蠕蟲完全分析報告 | 【FB TV】一周「BUF大事件」:NSA方程式有更多黑客工具下載了;Word曝0day漏洞;iOS 10.3.1高危WiFi芯片漏洞»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖