概述:

从5月12日开始,一款利用微软Windows操作系统文件共享漏洞进行传播的敲诈病毒开始在网络上大规模传播,病毒感染系统后会对系统上的重要数据进行加密并索取价值300美元以上的比特币。由于该病毒使用了445 端口SMB协议服务漏洞进行传播,因此在校园网(局域网)环境中较易扩散,需要引起学校的注意。

病毒分析:

WannaCry/Wcry勒索蠕虫病毒所利用的漏洞攻击代码是黑客组织Shadow Brokers(影子经纪人)在今年4月14日披露的Equation Group(方程式组织)使用的黑客工具包中的一个,攻击程序名为ETERNALBLUE,国内安全厂商命名为永恒之蓝。该攻击代码利用了Windows文件共享协议中的一个安全漏洞通过TCP 445端口进行攻击,漏洞影响Windows全线的操作系统,微软2017年3月的例行补丁(MS17-010)对该漏洞进行了修补。

病毒一旦感染系统后会对系统中的文件进行加密,并修改桌面背景,弹出勒索窗口向用户索要价值300美元以上的比特币(见下图)。

nana

病毒使用的加密算法暂时还没有破解的办法,一旦感染后用户只能选择支付相应的比特币解密或是等待攻击者最终免费解密(概率很小),因此针对该病毒还是建议用户以预防为主。

预防办法:

个人用户的预防办法:

  1. 针对Widnows vista、Windows 7、Windows 8.1、Windows 10及Windows Server 2008、Windows Server 2012、Windows Server 2016系统,请启用系统自带的更新功能将补丁版本升级到最新;
  2. 针对Windows XP、Windows 8及Windows Server 2003系统,我们建议升级操作系统到Windows 7及以上,如果因为特殊原因无法升级操作系统版本的,请手动下载补丁程序安装,补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  3. 升级电脑上的杀毒软件病毒库到最新版本。

网络层的预防办法:

  1. 在网络边界(如校园网出口)上阻断TCP 135、137、139、445端口的连接请求,这个操作可有效阻断病毒从外部传入内部网络,但仍然无法阻止病毒在内部网络传播;
  2. 在校园网的核心交换处阻断TCP 135、137、139、445端口的连接请求,该操作可阻断病毒在校内的局域网间进行传播,但无法阻止病毒在局域网内传播。
  3. 在局域网子网的边界处阻断TCP 135、137、139、445端口的连接请求,该操作可最大限度保护子网的安全,但是仍然无法阻挡病毒在同台交换机下传播。

注:以上网络措施都会在网络层面阻断Windows文件共享机制,对有此类需求的用户会产生一定影响。

参考链接:

  1. Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks. https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/
  2. https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
  3. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/