关于应对勒索软件“wannacry”威胁的处理方案
根据教育部紧急通知,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。现将该勒索软件(病毒)的有关情况、紧急应对措施通知如下:
一、病毒表现
1、本地表现:该勒索软件是“wannacry”的新家族,利用基于445端口传播扩散的SMB漏洞MS17-010迅速感染全球大量主机(注:微软在今年3月份已经发布该漏洞的补丁)。当系统被该勒索软件入侵后,弹出勒索对话框:
图 1 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,并在界面声称:“3天内付款正常,三天后翻倍,一周后不提供恢复”。同时,该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”,并衍生大量语言配置等文件。
2、网络行为:该勒索软件执行后会生成随机IP,并自动向生成的IP发起攻击,进行内网传播。
二、应急方案
(一)临时应急方案
1、开启系统防火墙
2、利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
3、打开系统自动更新,并检测更新进行安装
(二)日常工作要求
1、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
2、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010。
3、关闭445、135、137、138、139端口,关闭网络共享。
4、不明链接不要点击,不明文件不要下载,不明邮件不要打开。
5、请仍在使用windows xp, windows2003操作系统的用户尽快升级到window7/windows10,或windows 2008/2012/2016操作系统
6、安装正版操作系统、Office软件等,及时更新补丁,安装杀毒软件、单机版防火墙等。
三、应急支持
根据学校对网络安全的应急处理流程,进行校园网主干连接安全防护、基于IP的漏洞扫描、系统补丁升级和防火墙端口的关闭。
请各单位按通知要求及时做好本单位网络和信息系统、个人电脑的预防、减灾工作。(附件一)
特此通知!
教育信息化建设处
2017年5月15日
附件一:
winXP\Win7、Win8、Win10的处理流程及系统补丁下载
一、Win7、Win8、Win10处理流程
第一步:打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙:
第二步:选择启动防火墙,并点击确定
第三步:点击高级设置
第四步:点击入站规则,新建规则
第五步:选择端口、下一步
第六步:特定本地端口,输入445,下一步
第七步:选择阻止连接,下一步
第八步:配置文件,全选,下一步
第九步:名称,可以任意输入,完成即可。
二、winXP系统的处理流程
第一步:依次打开控制面板,安全中心,Windows防火墙,选择启用
第二步:点击开始,运行,输入cmd,确定执行下面三条命令
net stop rdr net stop srv net stop netbt |
注:由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
三、系统升级和补丁下载
1、通过系统升级功能或其他工具,进行系统升级和漏洞修复。
2、微软对已停服的XP和部分服务器版的特别补丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- 上一篇:关于加强防范“暗云”...
- 下一篇:关于校园网办公账号密...