首頁 > 學校通知 > 信息化辦公室 > 正文

關于防范感染勒索病毒的緊急通知

( 來源:現代教育技術中心發布者:xjzx 發布日期:2017年05月14日 )

各網絡用戶：

　　2017年5月12日20時左右，全球爆發大規模勒索軟件感染事件。據公安部通報，中國大批高校也出現感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復，情況嚴重（見附件1）。為控制病毒感染擴散，確保我校網絡不發生網絡安全事件，現緊急通知如下：

　　1、中心已在校園網邊界上設置了阻止該勒索病毒傳播的安全策略，但由于病毒的傳播方式有多種，不排除校內主機會通過其他途徑感染該病毒。請全校師生提高安全防范意識，做好電腦中重要文件的離線備份（拷貝到U盤或移動硬盤等），安裝防病毒軟件并升級到最新的病毒庫。

　　2、Windows XP、Windows 2003、Windows 8、windows vista等微軟已經不再提供技術支持（鑒于問題嚴重性微軟緊急發布了針對Windows XP、Windows Server 2003、Windows 8三款系統的修補補丁，編號：KB4012598）。建議各單位用戶盡快將操作系統升級到windows7以上版本，服務器系統升級到Windows 2012以上版本并為操作系統打齊補丁。

　　3、各網絡用戶請及時開啟計算機系統防火墻，以便啟到防護作用。

　　4、特別提醒：不要打開來源不明的電子郵件附件，尤其是帶有各種誘惑性語言和電子郵件附件；不要點擊安全狀態不明的網頁地址等。

　　為防范該病毒對各網絡計算機系統的感染和傳播，盡可能減少其危害和影響，中心整理出具體防范措施建議（見附件2）、針對敲詐病毒（WanaCrypt0r2.0）的解決方案（見附件3）、各操作系統版本補丁下載地址及360公司下載工具（免疫工具、專殺工具、文件恢復工具等）（見附件4），建議各單位用戶盡快下載安裝。

　　一旦出現類似事件第一時間反饋到中心，以便中心提供技術支持和幫助，聯系電話：65790463（潘老師、梁老師）

　　現代教育技術中心

　　 2017年5月13日

附件1：關于近日大量電腦感染勒索病毒的說明.doc

附件2：關于勒索病毒中招的具體防范措施建議.doc

附件3：針對敲詐病毒（WanaCrypt0r2.0）的解決方案.doc

附件4：各操作系統版本補丁下載地址及360公司下載工具（免疫工具、專殺工具、文件恢復工具等）.doc

附件1 關于近日大量電腦感染勒索病毒的說明

　　2017年5月12日起，全球范圍內爆發基于Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件，用戶只要開機上網就可被攻擊。五個小時內，影響覆蓋美國、俄羅斯、整個歐洲等100多個國家，國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

　　這次的“永恒之藍”勒索蠕蟲，是NSA網絡軍火民用化的全球第一例。一個月前，第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括“永恒之藍”攻擊程序。

　　漏洞描述

　　近期國內多處高校網絡和企業內網出現WannaCry勒索軟件感染情況，磁盤文件會被病毒加密，只有支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

　　根據網絡安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

　　由于以前國內多次爆發利用445端口傳播的蠕蟲，部分運營商在主干網絡上封禁了445端口，但是教育網及大量企業內網并沒有此限制而且并未及時安裝補丁，仍然存在大量暴露445端口且存在漏洞的電腦，導致目前蠕蟲的泛濫。

　　風險等級

　　360安全監測與響應中心對此事件的風險評級為：危急

　　影響范圍

　　掃描內網，發現所有開放445 SMB服務端口的終端和服務器，對于Win7及以上版本的系統確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響。

附件2 關于勒索病毒中招的具體防范措施建議

　　個人計算機用戶的預防措施：

　　1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統的用戶，請啟用系統自帶的更新功能將補丁版本升級到最新版本；

　　2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統用戶，建議升級操作系統到 Windows 7、Windows 2012及以上，如果因為特殊原因無法升級操作系統版本的，請手動下載XP和win2003補丁程序進行安裝，補丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

　　二、自建局域網預防措施：

　　在自建局域網的自有設備上阻斷TCP 135、137、139、445 端口的連接請求，將會有效防止該病毒的傳播，但是同時也阻斷了校內外用戶正常訪問使用Windows系統相應文件共享機制的信息系統和網絡服務。因此，必須謹慎使用下列預付措施：

　　1、在網絡邊界（如自建局域網出口）上阻斷 TCP 135、137、139、445 端口的連接請求。這個操作可有效阻斷病毒從外部傳入內部網絡，但無法阻止病毒在內部網絡傳播。

　　2、在自建局域網的核心交換設備處阻斷 TCP 135、137、139、445 端口的連接請求，該操作可阻斷病毒在自建局域網間進行傳播，但無法阻止病毒在自建局域網內傳播。

　　3、在自建局域網子網邊界處阻斷 TCP 135、137、139、445 端口的連接請求，該操作可最大限度保護子網的安全，但是無法阻擋該病毒在同臺交換機下傳播。

　　綜上所述，自建局域網的自有設備上阻斷網絡的TCP 135、137、139、445 端口連接請求只是臨時措施，盡快完成各單位用戶Windows系統軟件的升級或修復漏洞才是防范該病毒的根本措施。

附件3 針對敲詐病毒（WanaCrypt0r2.0）的解決方案

　　一、病毒背景

　　5月12日起，Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大范圍內出現爆發態勢，中國大陸大量教育網用戶和企業用戶中招。

　　與以往不同的是，這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用，通過445端口(文件共享)在內網進行蠕蟲式感染傳播。

　　微軟在今年3月10日已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞，請盡快安裝此安全補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。

　　沒有安裝安全軟件或及時更新系統補丁的其他內網用戶極有可能被動感染，所以目前感染用戶主要集中在企業、高校等內網環境下。

　　一旦感染該蠕蟲病毒變種，系統重要資料文件就會被加密，并勒索高額的比特幣贖金，折合人民幣2000-50000元不等。

　　從目前監控到的情況來看，全網已經有數萬用戶感染，QQ、微博等社交平臺上也是哀鴻遍野，后續威脅也不容小覷。

　　二、病毒感染現象

　　中毒系統中的文檔、圖片、壓縮包、影音等常見文件都會被病毒加密，然后向用戶勒索高額比特幣贖金。

　　WNCRY變種一般勒索價值300-600美金的比特幣，Onion變種甚至要求用戶支付3個比特幣，以目前的比特幣行情，折合人民幣在3萬左右。

　　此類病毒一般使用RSA等非對稱算法，沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內付款，否則解密費用翻倍，并且一周內未付款將刪除密鑰導致無法恢復。

　　從某種意義上來說，這種敲詐者病毒“可防不可解”，需要安全廠商和用戶共同加強安全防御措施和意識。

　　中毒后的勒索提示

　　部分系統桌面變化

　　三、針對未中病毒系統解決方案

　　1、為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞，請盡快安裝此補丁，請參考本文檔《安全補丁下載》章節內容進行下載安裝。

　　2、開啟Windows防火墻。請參考《打開Windows 防火墻》章節進行Windows防火墻啟用。

　　3、針對暫時無法安裝補丁的Windows Server 2003以及Windows XP系統，可以通過關閉445端口（監控其他關聯端口如： 135、137、139）來避免病毒侵害。

　　（1）快捷鍵WIN+R啟動運行窗口，輸入cmd并執行，打開命令行操作窗口，輸入命令：netstat -an

　　*用于檢測445端口是否開啟

　　上圖為未關閉445端口

　　（2）如445端口開啟（如上圖），依次輸入以下命令進行關閉：

　　net stop rdr / net stop srv / net stop netbt

　　功后的效果如下：

　　4、強化網絡安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開。

　　5、盡快（今后定期）備份自己電腦中的重要文件資料到移動硬盤、U盤，備份完后脫機保存該磁盤。

　　6、建議仍在使用Windows XP，Windows Server 2003操作系統的用戶盡快升級到 Window 7/Windows 10，或 Windows 2008/2012/2016操作系統。

　　7、若是Windows 7、Windows 8/8.1、Windows 10（不包含LTSB）以上操作系統在啟用自動更新情況下對此病毒免疫。

　　8、安裝正版操作系統、Office軟件等。

　　四、針對已中病毒系統解決方案

　　在沒有解密密鑰情況下，中病毒計算機中的文件恢復的成本非常高昂、難度非常大。若確定計算機已經中毒，應將該計算機隔離或斷網(拔網線)，以免進行病毒擴散。若存在該計算機備份，則啟動備份恢復程序。若沒有重要文件，可通過對磁盤全盤進行格式化，重裝系統恢復使用。

　　五、安全補丁下載

　　針對不同的系統所安裝的補丁不同，請嚴格按照系統版本下載相對應的安全補丁對系統進行更新。

　　------------------------------------------------------------------------

　　以下系統版本：

　　Windows XP 32位/64位/嵌入式

　　Windows Vista 32/64位

　　Windows Server 2003 SP2 32位/64位

　　Windows 8 32位/64位

　　Windows Server 2008 32位/64位/安騰

　　對應補丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　------------------------------------------------------------------------

　　以下系統版本：

　　Windows 7 32位/64位/嵌入式

　　Windows Server 2008 R2 32位/64位

　　對應補丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

　　------------------------------------------------------------------------

　　以下系統版本：

　　Windows 8.1 32位/64位

　　Windows Server 2012 R2 32位/64位

　　對應補丁下載地址：

　　http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

附件4 各操作系統版本補丁下載地址及360公司下載工具（免疫工具、專殺工具、文件恢復工具等）

　　Win7 ms17-010官方補丁md5值及下載地址

　　win7 x64

　　md5:d745f8983f0433be76e0d08b76113563 sha1:6bb04d3971bb58ae4bac44219e7169812914df3f

　　下載地址：

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　win7 x86

　　md5:883a7d1dc0075116789ea5ff5c204afc sha1:2decefaa02e2058dcd965702509a992d8c4e92b3

　　下載地址：

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

　　win10 x64 補丁下載地址：

　　http://download.windowsupdate.com/c/msdownload/update/softw

　　are/secu/2017/03/windows10.0-kb4012606-

　　x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

　　win10 x86 補丁下載地址：

　　http://download.windowsupdate.com/c/msdownload/update/softw

　　are/secu/2017/03/windows10.0-kb4012606-

　　x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

　　XP和win2003官方補丁地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　其他補丁下載地址：

　　https://technet.microsoft.com/zh-cn/library/security/MS17-010

　　點擊公告里對應的系統下載對應補丁。

　　2003：

　　http://0kee.#/ms/2003/kb4012598-x64-custom-chs.exe

　　http://0kee.#/ms/2003/kb4012598-x64-custom-enu.exe

　　http://0kee.#/ms/2003/kb4012598-x86.exe

　　2008：

　　http://0kee.#/ms/2008/kb4012598-x64.msu

　　http://0kee.#/ms/2008/kb4012598-x86.msu

　　2008R2：

　　http://0kee.#/ms/2008R2/kb4012212-x64.msu

　　http://0kee.#/ms/2008R2/kb4012212-x86.msu

　　http://0kee.#/ms/2008R2/kb4012215-x64.msu

　　http://0kee.#/ms/2008R2/kb4012215-x86.msu

　　2012R2：

　　http://0kee.#/ms/2012R2/kb4012213-x64.msu

　　http://0kee.#/ms/2012R2/kb4012213-x86.msu

　　http://0kee.#/ms/2012R2/kb4012216-x64.msu

　　http://0kee.#/ms/2012R2/kb4012216-x86.msu

　　8.1：

　　http://0kee.#/ms/8.1/kb4012213-x64.msu

　　http://0kee.#/ms/8.1/kb4012213-x86.msu

　　http://0kee.#/ms/8.1/kb4012216-x64.msu

　　http://0kee.#/ms/8.1/kb4012216-x86.msu

　　vista：

　　http://0kee.#/ms/vista/kb4012598-x64.msu

　　http://0kee.#/ms/vista/kb4012598-x86.msu

　　win7：

　　http://0kee.#/ms/win7/kb4012212-x64.msu

　　http://0kee.#/ms/win7/kb4012212-x86.msu

　　http://0kee.#/ms/win7/kb4012215-x64.msu

　　http://0kee.#/ms/win7/kb4012215-x86.msu

　　xp：

　　http://0kee.#/ms/xp/sp2-kb4012598-custom-enu-x86.exe

　　http://0kee.#/ms/xp/sp3-embedded-kb4012598-custom-enu-x86.exe

　　http://0kee.#/ms/xp/sp3-kb4012598-custom-enu-x86.exe

　　win7 sp0-sp1升級包：

　　http://0kee.#/ms/win7/sp0-sp1-X64.exe

　　http://0kee.#/ms/win7/sp0-sp1-X86.exe

　　漏洞檢測工具：

　　http://0kee.#/ms/ms17010detect.exe

　　http://0kee.#/ms/ms17-10.py

　　http://0kee.#/ms/ms17-10_BSOD_shilei.exe //藍屏

　　http://0kee.#/ms/ms17-010-bsod.py //藍屏

　　免疫工具&處置指南：

　　http://0kee.#/ms/010.zip

　　360公司免疫工具下載鏈接：

　　http://b.#/other/onionwormimmune

　　360公司專殺工具下載鏈接：

　　http://b.#/other/onionwormkiller

　　360公司勒索蠕蟲病毒文件恢復工具下載鏈接：https://dl.360safe.com/recovery/RansomRecovery.exe

更新日期: 2017-05-14