事件概要
5月12日晚,国内有不少高校学生反映电脑被恶意的病毒攻击,文档被加密。勒索者源头来自暗网,攻击具备兼容性、多语言支持,多个行业受到影响,国内的ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。据报道,今日全国多地的中石油加油站无法进行网络支付,只能进行现金支付。中石油有关负责人表示,怀疑受到病毒攻击,具体情况还在核查。而截至目前,一些公安系统已经遭到入侵。中招系统文档、图片资料等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金,并且病毒使用RSA非对称算法,没有私钥就无法解密文件。
中招现象主要有两点:
1、中招用户系统弹出比特币敲诈对话框;
2、用户文件被加密,后缀为“wncry”。
软件利用美国国家安全局黑客武器库泄露的ETERNALBLUE(永恒之蓝)发起病毒攻击。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。 蠕虫软件正是利用 SMB服务器漏洞,通过2008 R2渗透到未打补丁的Windows XP版本计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。
处置措施
第一步:立即修复漏洞、升级补丁
- 请尽快为电脑安装MS17-010漏洞补丁,网址https://technet.microsoft.com/zh-cn/library/security/MS17-010,对于XP、2003等微软已不再提供安全更新的机器,安装XP和部分服务器版WindowsServer2003特别安全补丁:
- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/如暂不能补丁升级,请采用以下紧急处理措施:关闭445、137、138、139端口,关闭网络共享; 或采用免疫工具:http://dl.360safe.com/nsa/nsatool.exe
第二步:勒索软件自检、查杀
- 建议直接升级杀毒软件病毒库进行检测及查杀,其他辅助专用检测方法勒索蠕虫终端自检查杀工具下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip
第三步:如已中招,文件恢复尝试
- 如果已经不幸中招,可使用360首发勒索蠕虫病毒文件恢复工具,尝试进行文件恢复。工具下载地址:https://dl.360safe.com/recovery/RansomRecovery.exe