勒索病毒在全球蔓延,台湾有许多网友传出灾情。最早发现的英国多家医院因此瘫痪,俄国、西班牙、日本、台湾等地也正遭受猛烈攻击,全球至少 99 国受到影响。而在中国,教育网络则成为重灾户,许多教育单位都业务停摆。更惨的是,连政府单位也中招,包括北京、上海、江苏、天津等多地的出入境、派出所等政府单位也疑似遭遇了病毒袭击。
由于这次的勒索病毒会利用 445 Port 入侵,而中国的校园网络也使用 445 Port,因此成为首当其冲的重灾户。许多学校的学生也都反映自己的电脑遭受病毒攻击,文件被加密。由于透过校园网络传播,影响十分广泛。
不过除了校园网络外,今天陆续在微博上有用户反映,包括北京、上海、江苏、天津等多地的出入境、派出所等单位也疑似遭遇了病毒袭击。因此很多民众原本要到这些地方去办理业务的,全都变成在当地枯等。有人抱怨在大厅等候了半个小时,11 个接待窗口没有叫过一个号码。
至于为什么传出灾情的都是入出境管理局?猜测可能是因为今天是周六,大多数机关并没有开放的缘故。
不过,照理来讲中国的政府机关应该很安全的才对。因为他们在 2014 年就已经公告所有的公家机关从当时开始禁止采购 Windows 8,之后将全面使用中国的桌面系统。而这个禁令至今仍然没有解除。微软甚至为了重回中国市场,在今年还传出要针对中国打造中国公家单位可以用的“特制版 Windows 10”。
因此,如果各地区机关落实政策的话,其实应该都很安全才对。除非…从禁令下来之后,公家机关就再也不更新系统,保持使用 Windows 7 或是 Windows XP。
总之,由于灾情影响严重,中国的国家网络应变中心也紧急发布了公告,说明遭到勒索软件攻击的电脑该如何应变:
网络上出现针对 Windows 操作系统的勒索软件工具的攻击案例,勒索软件工具利用之前披露的 Windows SMB 服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向用户进行渗透传播,,已经构成较为严重的攻击威胁。
一、勒索软件工具情况
综合 CNVD 技术组成员单位奇虎 360公司、安天公司等单位已获知的样本情况和分析结果,该勒索软件工具在传播时基于 445 Port 并利用 SMB 服务漏洞(MS17-010),当用户主机系统被该勒索软件工具入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。
而用户主机上的重要资料文件,如:照片、图片、文件、压缩档、音频、影片、可执行程式等多种类型的文件,都被恶意加密且副档名统一修改为 “WNCRY”。
目前,资安业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件工具渗透,只能透过重装操作系统的方式来解除勒索行为,但用户重要资料文件不能直接恢复。
二、应急处置措施
建议即时更新 Windows 已发布的安全更新,同时在内部网络区域、主机资产、资料备份方面做好如下工作:
(一)关闭 445 等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
(二)加强对 445 等端口(其他关联端口如: 135、137、139)的内部网络区域活动审查,即时发现非授权行为或潜在的攻击行为;
(三)由于微软对部分操作系统停止安全更新,建议对 Window XP 和 Windows server 2003 主机进行检查(MS17-010 更新已不支援),使用替代操作系统。
(四)做好个人资料的备份。
(本文由 T客邦 授权使用)
