一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中包括“永恒之蓝”攻击程序。4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
有可能通过445端口发起攻击的漏洞攻击工具 事件起因 事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。 该勒索软件是一个名为“WannaCry”的新型勒索软件,该软件是一种蠕虫变种(也被称为 “Wannadecrypt0r”、“wannacryptor”或“ wcry”)。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010。攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”,会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”,同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头。 “勒索软件”使用了比特币虚拟货币,难以追溯,他们可以轻松获利,比特币随处可买,线上流通。它不需要身份证验证,也不需要去银行管理。比特币是个“去中心化”的金融体系,警察对比特币交易无法追踪。有了这么一个“地下交易”网,黑客们拿完钱后轻松逍遥法外。已报告的网络勒索案,绝大多数都是通过比特币支付的赎金。 目前无法解密受到该类型的勒索软件感染的文件。 影响范围 1.国外影响覆盖美国、俄罗斯、整个欧洲等100多个国家,英国多家医院中招,病人资料外泄,同时俄罗斯、意大利、整个欧洲,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。另外有网友反映,德国火车站,飞机场等也受到了病毒攻击。
交通行业大屏展示系统 2. 国内 通过校园网传播,十分迅速,各大高校纷纷中招。
且ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。 根据此前病毒影响区域分析,目前受影响的区域主要集中于:教育行业、医疗行业、政府行业。 解决方案 1. 漏洞名称Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010) 包含如下CVE:
2. 漏洞描述 SMBv1 server是其中的一个服务器协议组件。 Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。 远程攻击者可借助特制的数据包利用该漏洞执行任意代码。 以下版本受到影响:
3. 解决方法 1. 防火墙屏蔽445端口分别在系统防火墙入站和出站规则中新建规则,如图:
新建deny 135、137、139、445端口的连接,如图:
2. 利用 Windows Update 进行系统更新3. 关闭 SMBv1 服务
对于客户端操作系统:
对于服务器操作系统:
4. 勒索病毒中招尝试解决方案
|
