漏洞的起因是一个月前随着NSA方程式工具包泄露而传播的。
最新进展:据BBC报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。
目前国内正在大规模的传播勒索软件,本次攻击的主要目标是位于全国各地的高校。 疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。 另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。
在这个漏洞收尾阶段爆发了这么大的蠕虫勒索病毒也属于常态
病毒攻击原理: 攻击者利用NSA组织一个月前爆出的多个Windows系统远程利用工具,扫描默认开放的445端口在高校校园网内进行传播,攻击者不需要用户进行任何操作即可进行感染。感染后设备上的所有文件都将会被加密,攻击者声称用户需要支付300~600美元的比特币才可以解锁。
修复方案: 对于电脑小白来说可以用360的 NSA武器库免疫工具进行检测修复 http://dl.360safe.com/nsa/nsatool.exe
window xp 2003 等微弱不再支持更新的系统推荐使用
1.在防火墙:启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
2.组策略关闭445端口:
首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。然后进入计算机配置→windows设置→安全设置→应用程序控制策略中,在右边空白区新建一个安全策略,第一页起名字,第二页不选,第三页确定,开始编辑
接下来的所有操作均不使用添加向导 首先新建一个ip筛选器,起名字,添加一个熟悉,地址中目的地址选我的ip地址,协议选择TCP协议,最下面的到此端口填上445。之后再设置筛选器操作,选择安全方法为阻止。在ip地址筛选列表和筛选器操作列表前面分别点下,然后关闭。最后右击,选择分配,任务完成。
3.注册表关闭445端口: WIN+R打开运行,输入regedit打开注册表,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在右面的窗口建立一个REG_DWord类型的,名为SMBDeviceEnabled,键值为0,这样就ok了。
4.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010
5.内网中有机器感染了建议暂时不要上网
另外可以关注安全厂商,比如卡巴斯基 360等,目前世界上大部分勒索病毒都是被卡巴司机实验室攻破
--------------------------------------------------------------
中招尝试解决方案(来自网络)
--------------------------------------------------------------
方法一:
1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment.
6:再点击decrypt 解密文件即可。
方法二:
下载开源的脚本(需要python3环境)来运行尝试恢复。
下载链接:https://github.com/QuantumLiu/antiBTCHack
--------------------------------------------------------------
学校预防方案:
在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
|