-
通知公告
公告:勒索病毒WannaCry防范处置手册
发布时间:2017-06-23
校园网用户:
2017年5月12日20时左右,全球爆发大规模基于Windows平台的勒索软件感染事件。该勒索病毒WannaCry(又名WannaCrypt0r或WCry)同时具备加密勒索和内网蠕虫传播能力,危害极大。病毒利用Windows系统默认开放的445端口在内网进行传播,不需要用户进行任何操作即可进行感染。感染后设备上的所有文件都将会被加密,一旦被加密即使支付也不一定能够获得解密密码。病毒攻击原理涉及到微软Windows操作系统SMB服务漏洞。虽然微软在2017年3月就已经推送了该漏洞相关补丁,该Windows操作系统SMB服务漏洞早在2017年4月发布预警,然而当时的预警仍然未引起很多的重视,依然有很多系统尚未安全更新补丁。这次病毒的爆发事件再次提醒大家重视安全,及时进行补丁升级。
学校于5月12日晚监测到病毒攻击有漫延扩大的趋势,已及时向用户发出了勒索软件病毒攻击的紧急通知,并开始对数据中心区域服务器进行安全排查,升级安全软件病毒库以及更新系统补丁,并下载最新的检测工具进行检测,13日凌晨完成对全校各区域路由器相应端口的网段隔离,封锁135/137/138/139/445端口双向流量,最大限度降低校园网内的传播风险。
为帮助用户共同防范病毒,网络中心收集整理了该勒索病毒的防范处置方法,广大师生用户可按照以下方法对个人电脑、笔记本进行处置。为避免用户防范处置时获取补丁和工具遇到问题,已将相关补丁和工具保存至校内服务器,供用户快速下载。
图1 整理的补丁和工具列表(链接见防范处置方法)
一、影响分析
此次利用的SMB漏?影响以下未自动更新的操作系统: Windows XP/Windows 2000/Windows 2003 /Windows Vista/Windows Server 2008/Windows Server 2008 R2 /Windows 7/Windows 8/Windows 10 Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
当系统被该勒索软件入侵后,弹出勒索对话框:
图 2 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
图 3 加密后的文件名
二、漏洞检测
通过以下工具可以检测目标系统是否存在漏洞。
长亭科技漏洞检测工具:http://chaitin.cn/cn/ms17010-checker.zip
漏洞检测工具校内下载1:http://seafile.ncu.edu.cn:8000/d/5337788652/ 访问密码 ms17-010
漏洞检测工具校内下载2:ftp://ftpfile@218.64.56.53/
用户名 ftpfile 访问密码 ms17-010
三、已经感染解决方案
1、断开网络连接,阻止进一步扩散。
2、已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。
3、在处置同时尽快向网络中心报告情况,请拨打用户服务电话 83969312。
360公式勒索蠕虫病毒恢复工具
https://dl.360safe.com/recovery/RansomRecovery.exe (说明:该工具可以尝试恢复部分被加密数据)
360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller
安天蠕虫勒索软件专杀工具(WannaCry)http://www.antiy.com/response/wannacry/ATScanner.zip (说明:Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。)
校内快速下载地址1:http://seafile.ncu.edu.cn:8000/d/5337788652/ 访问密码 ms17-010
校内快速下载地址2:ftp://ftpfile@218.64.56.53/
用户名 ftpfile 访问密码 ms17-010
四、文件恢复尝试
已经感染病毒机器需要立即断电断网,减少数据损失。
如果机器有特别重要文件数据,可尝试进行恢复,目前网络上已有一些恢复方法和工具,其原理是恢复被加密文件被删除前的文件,该方法不能确保恢复所有被加密文件,可以尝试使用,恢复过程中尤其注意病毒的交叉和二次感染,由移动存储介质扩散至其他的机器。
可参考以下方法进行恢复:
1、使用U盘WinPE启动系统,使用FinnalData、EasyRecover等数据找回工具找回。
2、使用360勒索蠕虫病毒恢复工具、效率源比特币勒索Office工具等针对性攻击进行恢复。
校内快速下载地址1:http://seafile.ncu.edu.cn:8000/d/5337788652/ 访问密码 ms17-010
校内快速下载地址2:ftp://ftpfile@218.64.56.53/
用户名 ftpfile 访问密码 ms17-010
五、防范处置方案
对于目前尚未感染的用户来说:1断网/2开机/3封堵445端口(或免疫工具)/4打补丁,这个顺序至关重要,也最稳妥。
1、临时解决方案一:防火墙阻断445端口
对于以上Windows系统版本,建议在开机前先断网,在离线状态下开机,启用并打开“Windows防火墙”,进入“高级设置”,在入站规则禁用“文件和打印机共享”相关规则,或者在入站规则中新增规则阻断445端口,此方案为临时缓解措施,只是临时关闭了SMB服务。操作详细步骤见参考资料6《360针对“永恒之蓝”攻击紧急处置手册》。
2、临时解决方案二:使用蠕虫快速免疫工具
360免疫工具的下载地址:
安天免疫工具的下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
校内快速下载地址1:http://seafile.ncu.edu.cn:8000/d/5337788652/ 访问密码 ms17-010
校内快速下载地址2:ftp://ftpfile@218.64.56.53/
用户名 ftpfile 访问密码 ms17-010
3、根本解决方案
及时为系统进行补丁更新,微软已发布
补丁MS17-010修复了系统漏洞。由于本次Wannacry蠕虫事件的巨大影响,微软总部13日也发布了已停止服务的XP和部分服务器版特别补丁。长期来看,网络中心建议使用XP、Vista、2003版本的系统的用户应尽早更换系统到微软支持的版本。
微软MS17-010补丁 https://technet.microsoft.com/zh-cn/library/security/MS17-010
Windows系统各版本相应补丁(含xp和2003)http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
校内快速下载地址1:http://seafile.ncu.edu.cn:8000/d/5337788652/ 访问密码 ms17-010
校内快速下载地址2:ftp://ftpfile@218.64.56.53/
用户名 ftpfile 访问密码 ms17-010
六、为防范此类安全威胁,向师生提出建议如下:
1、做好个人重要数据备份。个人的学习科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
2、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
3、注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
4、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
5、不要打开来历不明或可疑的电子邮件和附件。
6、注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。
参考资料:
1、微软MS17-010补丁 https://technet.microsoft.com/zh-cn/library/security/MS17-010
2、Windows系统各版本相应补丁(含xp和2003)http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3、关于重点防范Windows操作系统勒索软件攻击的情况公告(CNVD)http://www.cnvd.org.cn/webinfo/show/4139
4、安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发 http://www.antiy.com/response/wannacry/wannacry.pdf
5、WanaCrypt0r勒索蠕虫完全分析报告http://m.bobao.360.cn/learning/detail/3853.html?from=timeline&isappinstalled=1
6、360针对“永恒之蓝”攻击紧急处置手册http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458365
7、安天U盘工具包 http://pan.baidu.com/s/1eSb0Vnk
(图文来源:南昌大学网络中心)