目录 安全通告尊敬的客户: 2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。 目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。 此蠕虫目前在没有对445端口进行严格访问控制的教育网内大量传播,受感染系统被勒索巨额金钱。该由NSA泄露工具所引发的蠕虫攻击事件已经造成非常严重的现实危害,与教育网类似的大规模的企业内网也已经面临此类威胁。 360安全监测与响应中心也将持续关注该事件的进展,并第一时间为您更新该事件信息。 前情提要:北京时间2017年4月14日晚,一大批新的NSA相关网络攻击工具及文档被Shadow Brokers组织公布,其中包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具。 漏洞信息漏洞描述近期国内多处高校网络出现ONION/Wncry勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。 根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网并没有此限制,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。 风险等级360安全监测与响应中心对此事件的风险评级为:危急 处置建议确认影响范围企业内网、IDC、教育网络等所有开放445 SMB服务端口且没有及时安装安全补丁的客户端和服务器系统都将面临此威胁。 应急处置手段目前利用漏洞进行攻击传播的蠕虫开始泛滥,360企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问,如果边界上有IPS和360天堤智慧防火墙之类的设备,请升级设备的检测规则到最新版本,直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。 检查系统是否开启Server服务的方法: 1、打开 开始 按钮,点击 运行,输入cmd,点击确定 2、输入命令:netstat -an 回车 3、查看结果中是否还有445端口 如果发现445端口开放,需要关闭Server服务,以Win7系统为例,操作步骤如下: 点击 开始 按钮,在搜索框中输入 cmd ,右键点击菜单上面出现的cmd图标,选择 以管理员身份运行 ,在出来的 cmd 窗口中执行 “net stop server”命令,会话如下图: 根治手段目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。对于Win7以下版本的操作系统,微软已经不提供安全补丁支持,请尽快按 快速应急处置建议 中的描述处理。 快速应急处置建议技术分析整体影响评估此安全事件影响范围包括全部开放445端口的系统,影响范围巨大。 可受影响区域企业内网将是受本次攻击事件影响的重灾区。
|