关于加强安全防护措施应对近期网络勒索病毒的安全提示

校园网安全 Posted by 王宇 on 2017年5月13日

信息技术研究院(网络中心)从高教信息化分会网络安全工作组、360安全、安天科技等渠道获知,近期国内外爆发了基于Windows平台的勒索病毒感染事件,主机内重要文件被加密,并显示类似下图所示的勒索界面:

经初步调查,此类勒索病毒是利用基于445端口传播的Windows系统SMB漏洞进行感染,而不是此前通常的携带病毒Office文档的电子邮件传播(参见:http://network.neu.edu.cn/archives/2272)。被勒索病毒感染后,主机内大量重要文件(如Word、Excel等)被加密,由于加密强度高解密难度大,只能通过支付高额的比特币赎金才能解密恢复文件,对被感染主机威胁严重。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序,可以攻击开放445端口的 Windows主机,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
根据安全公司统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还有进一步扩大趋势。
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

我们在做好校园网络层面可实施的各项安全防护措施的基础上,建议师生加强安全防护措施,降低被网络勒索病毒感染风险。具体个人主机防护措施建议如下:
1.升级操作系统补丁到最新(推荐)
通过Windows官方渠道、主要安全厂商安全客户端等,将Windows主机系统更新升级到最新状态;
安装可信安全厂商安全防护软件,Windows系统设置补丁自动升级;
保持良好的网络使用习惯(不随意打开不明来源的Office文档、可执行文件;使用Chrome、Firefox、360安全等安全防护功能较好的浏览器;不打开来源不明的网络连接;不下载和安装来源不明的主机应用和移动应用)。
2.临时设置防火墙和取消文件共享设置(不推荐,临时缓解):
若不具备升级Windows补丁到最新的条件,建议启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。

另外,对于有大量重要文档信息的主机,请经常进行重要文件备份,并将备份介质离线保存(也就是将备份的硬盘断开与主机的USB等连接来存放);停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统,及时升级操作系统补丁到最新

参考链接:
https://technet.microsoft.com/zh-cn/library/security/MS17-010

关于近日大量学校电脑感染勒索病毒的说明

信息技术研究院(网络中心)作为学校校园网络软硬件建设和信息化建设技术支持的主要部门,将竭诚为师生服务!

信息技术研究院(网络中心)

2017年5月13日

PS:

MS17-010漏洞相关补丁升级包参见:https://technet.microsoft.com/zh-cn/library/security/MS17-010

如仍在使用Windows XP、Windows 2003等微软公司已停止支持的操作系统的用户,请参考如下微软公告进行补丁更新:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

40 comments on “关于加强安全防护措施应对近期网络勒索病毒的安全提示
  1. liu说道:

    老师,早晨我的电脑开机就被远程控制了,特别吓人,咱学校有没有对勒索病毒采取点防御措施啥的

    • 王宇说道:

      目前,在网络层面可以做的防护都做了,不知道你的远程控制情况如何?建议立即断网和进行处置,避免对周围电脑和设备的进一步影响。本页面里是有相关应急处置建议的,供参考。

  2. 5465434说道:

    老师您好,请问各宿舍楼的楼层交换机有没有屏蔽445端口?

  3. 董同学说道:

    老师,您好,最近半年以来上网时时不时会弹出百度搜索框内含有“_PXCK_1494809530_82”类似字样的界面,自己也搜索过,原因好像是运营商的流量劫持,这个学校可不可以跟上级网络部门反映一下?

  4. dd说道:

    老师您好,这是我新机械楼实验室的网络,没有问题,有IPV6地址,可以访问六维,是不是十舍的设备出现了问题?

    • 王宇说道:

      据我所知,十舍针对IPv6协议进行一些安全测试,如果存在访问问题,可以拨打网络中心报修咨询电话和具体负责网络的老师们沟通沟通。

  5. 10舍C区说道:

    老师您好,10舍C区4楼的电脑没有ipv6地址,最近也无法访问六维等等,附近几个寝室的同学均无法访问,但新机械楼实验室的电脑可以正常访问,请问是我们这面的设备坏了吗?

    • 王宇说道:

      据我所知,南湖校区十舍针对IPv6协议进行一些安全测试,如果存在访问问题,可以拨打网络中心报修咨询电话和具体负责网络的老师们沟通沟通。

  6. 狗子说道:

    学校的系统可以做成企业版长期服务版吗,该版本系统可以只提供安全更新而不提供功能更新,能避免因功能更新导致的各种问题同时也能获得安全性能的保障

    • 王宇说道:

      我这还真不清楚有“企业版长期服务版”之类的,目前我校还没有进行操作系统方面的统筹管理的。

  7. 〈@@〉说道:

    老师您好。
    图书管的“ 东北大学学位论文数据库”最近上不去了,显示
    “无法访问此网站
    202.118.8.24 的响应时间过长。
    请访问http://202.118.8.2/
    ERR_CONNECTION_TIMED_OUT”,
    您看看。

    • 王宇说道:

      202.118.8.24,这个IP,我现在也访问不了。图书馆内部服务都是自行管理的,包括相关网络环境,建议和图书馆技术部门联系一下。

  8. JLxJL_210说道:

    王老师,我们东大的校内windows补丁升级系统(WSUS)是不是最近不好使了?我这几台配置了WSUS的计算机一个月来都无法自动更新

  9. Z说道:

    成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/的话WannaCrypt会停止工作。可以考虑在校内DNS设定A记录将其重定位到校内网站。

  10. tttss说道:

    老师您好,我在点击使用百度搜索得到的结果的链接时,有一定概率会出现搜索以_PXCX_开头接一串数字(如_PXCK_1494687442_98)贴吧的结果,使用其他搜索引擎的结果时也会偶尔出现。这是我电脑中毒了,还是像网上说的那样百度劫持流量之类的原因,我杀过毒,也重装过浏览器,没有用

    • 王宇说道:

      据我了解,不是主机层面的问题,也不是校园网层面可解决的,具体情况我们和校园网运营商反映过,也还没有具体结果。

  11. 2333说道:

    交了300美元的比特币也解不了的
    我一个高中同学就中招了 win10大法好啊

  12. dk说道:

    老师好,问一下linux用户会中招么?

  13. ( ▼-▼ )说道:

    要不要趁机打波广告曰帮忙装黑苹果?????
    算了
    我自己的都折腾了两周
    还是别丢人了
    。。。。。。。。。。。。。。。。。。。
    开个玩笑啊,不是广告

    • 王宇说道:

      目前,针对Windows系统漏洞的蠕虫病毒较多,主要还是由于系统拥有量较多的原因,苹果系统也有类似的问题,但是相对影响要小。

  14. 鹏鹏说道:

    老师您好,这几天十舍c的ipv6无法访问,能不能修复一下

    • 王宇说道:

      据我所知,南湖校区十舍针对IPv6协议进行一些安全测试,如果存在访问问题,可以拨打网络中心报修咨询电话和具体负责网络的老师们沟通沟通。

  15. ligy118说道:

    微软爸爸好样的
    给已经停止服务的xp等系统更新了个补丁
    老师可以写到上面啊
    https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

  16. RogerG说道:

    学校的机房会统一更新吗?

    • 王宇说道:

      目前,学校的机房情况不太一样,据我了解,一般机房主机都有硬盘保护卡的,倒是不怕病毒发作的,更新补丁需要机房内统一操作。

  17. 喵喵喵说道:

    请问老师,校园网现在可以正常连接吗?用网线还是wifi?(计算机小白一脸茫然,感到害怕

    • 王宇说道:

      校园网络应该是正常的吧,我没接到类似问题消息,但是没在校内,要是你的校园网有问题,可以拨打网络中心报修咨询电话沟通一下看看。

  18. _(:з」∠)_说道:

    老师您好。据说东大的校园网基本不允许公网的入站请求,那是不是意味着我们学校基本不会受到这次的攻击呢
    顺便贴一个360的发布的补丁吧,估计上面的东西可能有人看不懂 http://dl.360safe.com/nsa/nsatool.exe

    • 王宇说道:

      的确在校园网络层面上可以采取的措施,我们网管老师已经实施,但是应该不是“不允许公网”入站请求,否则我们很多正常的网络服务也使用不了了,安全措施只是对安全隐患比较大的端口做了处置!

发表评论