5月12日起,全球范围内爆发了基于Windows网络共享协议进行攻击传播的蠕虫恶意代码。包括美国、俄罗斯以及整个欧洲在内的100多个国家,以及中国国内医院、教育、能源、通信、制造业和政府部门等在内的多个领域。
该勒索蠕虫传播的模式是攻击进入能连接公网的用户机器,扫描内网和公网的ip,若被扫描到的ip打开了445端口,则会使用“EnternalBlue”(蓝之永恒)漏洞安装后门。一旦执行后门,则会释放一个名为Wana Crypt0r敲诈者病毒,从而加密用户机器上所有的文档文件,进行勒索。
由于勒索病毒传播紧急,涉及面广,腾讯、奇虎360、安天、金山安全、安恒、远望等相关企业迅速开展研究,主动提供安全服务和防范工具。
不过让人奇怪的是中国国内的高校内网、大型企业内网和政府机构专网纷纷中招。病毒能在内网传播较为广泛,这是什么原因呢?
据腾讯安全反病毒实验室的分析,此次勒索事件与以往相比最大的特点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。
MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。
目前对广大用户而言最有效的应对措施是要安装安全防护软件,及时升级安全补丁,即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员,还可以采取关闭该勒索软件使用的端口和网络服务等措施。
而对于企业来说,最关心自己的OA、CRM、ERP系统等是否受勒索病毒攻击。目前免受病毒攻击最流行的方法有如下几种:
第一,拔掉网线,备份好所有文件。使用安全无毒的硬盘做好数据备份,不仅是这次,今后也要养成定期备份的好习惯。
第二,安装好微软MS17-010更新。此外,最好打开操作系统自动修补漏洞的功能,以免遗漏今后的补丁。最傻瓜的办法是,给电脑安装一个可靠的安全软件,自动更新病毒库,虽然会一定程度拖慢系统速度,但与安全相比,还是值得的。链接:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
第三,关闭Windows系统的445、135等端口(打开Windows防火墙,关闭端口)。具体方法略有些复杂。以445端口为例,在“Windows防火墙”中选择“高级设置”,并在左侧“入站规则”中点击“新建规则”,在“协议和端口”栏目下选择“特定本地端口”,填入“445”,随后下一步操作中选中“阻止连接”。
第四,不明链接不要点,不明文件不要下载,不明邮件不要点开,一切来历不明的操作都要谨慎。
第五,停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。比如,不再使用Windows XP。
在信息化环境下,企业应用不可避免的需要外网访问,如何安全的接入外网访问就需要杜绝在外网直接通过端口访问服务器。金万维天联高级版无需端口映射,能有效的防止外网直接通过端口攻击服务器。
此次勒索软件较大范围传播是近年来少有的,再一次给人们敲响了警钟。互联网等信息技术的快速发展,在给人们带来巨大福祉的同时,也带来了前所未有的网络安全挑战。希望所有企业在运用现代互联网产品的同时,做好网络安全防护,与各界互联网高科技企业联手共建安全、放心的互联网世界。