经初步调查，此类勒索病毒是利用基于445端口传播的Windows系统SMB漏洞进行感染，而不是此前通常的携带病毒Office文档的电子邮件传播（参见：http://network.neu.edu.cn/archives/2272）。被勒索病毒感染后，主机内大量重要文件（如Word、Excel等）被加密，由于加密强度高解密难度大，只能通过支付高额的比特币赎金才能解密恢复文件，对被感染主机威胁严重。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序，可以攻击开放445端口的 Windows主机，实现远程命令执行。微软在今年3月份发布的MS17-010补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。
根据安全公司统计，目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击，并且攻击规模还有进一步扩大趋势。
此次利用的SMB漏洞影响以下未自动更新的操作系统：
Windows XP／Windows 2000／Windows 2003
Windows Vista／Windows Server 2008／Windows Server 2008 R2
Windows 7／Windows 8／Windows 10
Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

我们在做好校园网络层面可实施的各项安全防护措施的基础上，建议师生加强安全防护措施，降低被网络勒索病毒感染风险。具体个人主机防护措施建议如下：
1.升级操作系统补丁到最新（推荐）：
通过Windows官方渠道、主要安全厂商安全客户端等，将Windows主机系统更新升级到最新状态；
安装可信安全厂商安全防护软件，Windows系统设置补丁自动升级；
保持良好的网络使用习惯（不随意打开不明来源的Office文档、可执行文件；使用Chrome、Firefox、360安全等安全防护功能较好的浏览器；不打开来源不明的网络连接；不下载和安装来源不明的主机应用和移动应用）。
2.临时设置防火墙和取消文件共享设置（不推荐，临时缓解）：
若不具备升级Windows补丁到最新的条件，建议启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。

另外，对于有大量重要文档信息的主机，请经常进行重要文件备份，并将备份介质离线保存（也就是将备份的硬盘断开与主机的USB等连接来存放）；停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统，及时升级操作系统补丁到最新。

参考链接：
https://technet.microsoft.com/zh-cn/library/security/MS17-010

关于近日大量学校电脑感染勒索病毒的说明

信息技术研究院（网络中心）作为学校校园网络软硬件建设和信息化建设技术支持的主要部门，将竭诚为师生服务！

信息技术研究院（网络中心）

2017年5月13日

PS:

MS17-010漏洞相关补丁升级包参见：https://technet.microsoft.com/zh-cn/library/security/MS17-010。

如仍在使用Windows XP、Windows 2003等微软公司已停止支持的操作系统的用户，请参考如下微软公告进行补丁更新：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Posted in 校园网安全 | 40 Comments »

东北大学网络中心&东北大学IT服务（ITS）&网络中心黑板报

【网络中心报修与咨询电话87240（83687240）、81656（83681656）|缴费咨询电话87251（83687251）】

快速链接

校园网内测速

校园网外测速[测试中]

东北大学相关

快速链接

教育网相关

校园卡服务

校园网服务

网络与主机安全

网络中心内部管理

分类目录

最新黑板报

后台管理

Archive for 五月, 2017

南湖校区何世礼、逸夫教学馆、机电馆无线网关闭通知

校园网教育网出口调整通知

关于部署应对网络勒索病毒安全防护措施和加强安全信息上报的通知

关于加强安全防护措施应对近期网络勒索病毒的安全提示