新闻中心

官方公告返回列表

关于“永恒之蓝”勒索病毒爆发的预警

各位亲爱的用户: 

5月12日晚上20时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。这次事件是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。

比格云建议用户可通过以下方法赶快测定是否受到了影响:扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。

比格云用户修复建议:

网络层面

目前利用漏洞进行攻击传播的蠕虫开始泛滥,强烈建议网络管理员在网络边界的防火墙上阻断 445 端口的访问,如果边界上有 IPS 和智慧防火墙之类的设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。

终端层面

暂时关闭Server服务。检查系统是否开启Server服务:

1、打开 开始 按钮,点击 运行,输入cmd,点击确定;

2、输入命令:netstat -an 回车;

3、查看结果中是否还有445端口。

image.png

如果发现445端口开放,需要关闭Server服务,以Win 2012 R2 标准版 64位系统为例,操作步骤如下:

1、点击 开始 按钮,在搜索框中输入 cmd ,右键点击菜单上面出现的cmd图标,选择 以管理员身份运行;

2、在出来的 cmd 窗口中执行 以下命令:

sc stop lanmanserver

sc config lanmanserver start= demand

image.png

3、重启云主机(必须)。

感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

根治方法

对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

恢复阶段

建议针对重要业务系统立即进行数据备份,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

普通电脑用户修复建议:

1、开启系统防火墙,利用系统防火墙的“高级设置”阻止外部对 445 端口进的访问(存在一定影响,该操作会影响使用 445 端口的服务);

2、打开系统自动更新,检测更新并进行安装。

3、勤打补丁,勤做备份。

比格云

2017年5月13日