“勒索”病毒來襲 更新作業系統補丁

發佈時間： 2017-05-15 18:06:20   |  來源： 中國網--健康中國   |  責任編輯： 李曉憲

  中國網健康訊（李曉憲 文正吉）  據國家網際網路應急中心官網通報，北京時間5月12日，網際網路上出現針對Windows作業系統的勒索軟體（Wannacry）攻擊案例。勒索軟體利用此前披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進行滲透傳播，並向用戶勒索比特幣或其他價值物。包括高校、能源等重要資訊系統在內的多個國內用戶受到攻擊，已對我國網際網路絡構成較為嚴重的安全威脅。

    綜合CNCERT和國內網路安全企業（奇虎360公司、安天公司等）已獲知的樣本情況和分析結果，該勒索軟體在傳播時基於445端口並利用SMB服務漏洞（MS17-010），總體可以判斷是由於此前“Shadow Brokers”披露漏洞攻擊工具而導致的後續黑産攻擊威脅。4月16日，CNCERT主辦的CNVD發佈《關於加強防範Windows作業系統和相關軟體漏洞攻擊風險的情況公告》，對影子紀經人“Shadow Brokers”披露的多款涉及Windows作業系統SMB服務的漏洞攻擊工具情況進行了通報（相關工具列表如下），並對有可能産生的大規模攻擊進行了預警:

    當用戶主機系統被該勒索軟體入侵後，彈出如下勒索對話方塊，提示勒索目的並向用戶索要比特幣。而對於用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程式等幾乎所有類型的文件，都被加密的文件尾碼名被統一修改為“.WNCRY”。目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟體滲透，只能通過重裝作業系統的方式來解除勒索行為，但用戶重要資料檔案不能直接恢復。

    CNCERT已經著手對勒索軟體及相關網路攻擊活動進行監測，5月13日9時30分至12時，境內境外約101.1萬個IP地址遭受“永恒之藍”SMB漏洞攻擊工具的攻擊嘗試，發起攻擊嘗試的IP地址（包括進行攻擊嘗試的主機地址以及可能已經感染蠕蟲的主機地址）數量9300余個。建議廣大用戶及時更新Windows已發佈的安全補丁更新，同時在網路邊界、內部網路區域、主機資産、數據備份方面做好如下工作：

   （一）關閉445等端口(其他關聯端口如: 135、137、139)的外部網路訪問許可權，在伺服器上關閉不必要的上述服務端口(具體操作請見參考連結)；

   （二）加強對445等端口（其他關聯端口如: 135、137、139)的內部網路區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

   （三）及時更新作業系統補丁。

   （四）安裝並及時更新殺毒軟體。

   （五）不要輕易打開來源不明的電子郵件。

   （六）定期在不同的存儲介質上備份資訊系統業務和個人數據。