大阳城集团|g9影院|“永恒之蓝”病毒真相（附八大安全企业防护方案）

　　太阳城sunbet申博，打印机，5月12日晚，一款名为“WannaCry”的勒索病毒在全球进行大规模攻击大阳城集团，目前已知有100多个国家和地区受害，包括医疗系统、快递公司、石油石化、学校g9影院大阳城集团、银行g9影院、警察局等众多行业受到影响，被攻击者被要求支付比特币解锁。我国的教育网络在也成了本轮攻击的重灾区，攻击造成了部分学校教学网络的瘫痪。界小编就为您揭开本次病毒攻击事件的

　　太阳城sunbet申博★ღ✿✿，打印机★ღ✿✿，5月12日晚★ღ✿✿，一款名为“WannaCry”的勒索病毒在全球进行大规模攻击大阳城集团★ღ✿✿，目前已知有100多个国家和地区受害★ღ✿✿，包括医疗系统★ღ✿✿、快递公司★ღ✿✿、石油石化★ღ✿✿、学校g9影院大阳城集团★ღ✿✿、银行g9影院★ღ✿✿、警察局等众多行业受到影响★ღ✿✿，被攻击者被要求支付比特币解锁★ღ✿✿。我国的教育网络在也成了本轮攻击的重灾区★ღ✿✿，攻击造成了部分学校教学网络的瘫痪★ღ✿✿。界小编就为您揭开本次病毒攻击事件的真相★ღ✿✿，以及相关防护举措★ღ✿✿。

　　5月12日开始★ღ✿✿，WannaCry勒索蠕虫突然爆发★ღ✿✿，影响遍及全球100多个国家★ღ✿✿，包括英国医疗系统★ღ✿✿、快递公司FedEx★ღ✿✿、俄罗斯电信公司Megafon都成为受害者★ღ✿✿，我国的校园网和多家能源企业★ღ✿✿、政府机构也中招★ღ✿✿，被勒索支付高额赎金才能解密恢复文件★ღ✿✿，对重要数据造成严重损失★ღ✿✿。而由于互联网接入极其有限★ღ✿✿，朝鲜在这大范围的攻击下守住了一方净土★ღ✿✿。它几乎是惟一在这场病毒灾难中幸免的国家★ღ✿✿。

　　研究人普遍相信★ღ✿✿，这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具★ღ✿✿。几个私立网络安全公司的研究人员表示★ღ✿✿，黑客通过利用名为“Eternal Blue”（永恒之蓝）的NSA代码★ღ✿✿，导致软件能够自我传播★ღ✿✿。

　　一个月前★ღ✿✿，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布★ღ✿✿，包含了涉及多个Windows系统服务（SMB★ღ✿✿、RDP★ღ✿✿、IIS）的远程命令执行工具★ღ✿✿，其中就包括“永恒之蓝”攻击程序★ღ✿✿。

　　针对国内感染状况★ღ✿✿，5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势★ღ✿✿，截至到当天下午19:00★ღ✿✿，国内有28388个机构被“永恒之蓝”勒索蠕虫感染★ღ✿✿，覆盖了国内几乎所有地区★ღ✿✿。

　　目前★ღ✿✿，勒索病毒在全球爆发★ღ✿✿，已经影响了100多个国家和地区★ღ✿✿，包括美国★ღ✿✿、英国★ღ✿✿、中国★ღ✿✿、俄罗斯★ღ✿✿、西班牙大阳城集团★ღ✿✿、越南在内的国家和地区都受到这次高危事件的影响★ღ✿✿。据悉★ღ✿✿，俄罗斯受影响最为严重★ღ✿✿，中国目前已经有超过2.4万机器被感染★ღ✿✿。

　　报告显示★ღ✿✿，该恶意软件的传播最早是从英国开始的★ღ✿✿。美联社报道称★ღ✿✿，英国各家医院的电脑系统周五开始遭遇大规模网络攻击而瘫痪★ღ✿✿，导致预约取消★ღ✿✿、电话断线★ღ✿✿、患者无法看病★ღ✿✿。英国电脑系统遭到袭击的包括管理伦敦主要医院的巴兹医疗集团(Barts Health group)★ღ✿✿，集团管理的主要医院有伦敦皇家医院(The Royal London)和圣巴塞洛缪医院(St Bartholomew’s)★ღ✿✿。路透社的报道说★ღ✿✿，它无法通过独立渠道核查★ღ✿✿，此次事件是否是针对6月8日的选举而展开★ღ✿✿。

　　英国国民保健署(National Health Service★ღ✿✿， NHS)称★ღ✿✿，这些医院明显是受到了“勒索软件”的攻击★ღ✿✿，攻击者侵入医院电脑系统中★ღ✿✿，锁定电脑要求用户支付赎金★ღ✿✿。目前尚无证据表明病人的数据资料遭到泄露★ღ✿✿。英国国家网络安全中心和英国版“FBI”国家打击犯罪调查局（NCA）已经开始着手调查★ღ✿✿。

　　多家西班牙公司遭到网络攻击★ღ✿✿，包括西班牙电信业巨头Telefonica★ღ✿✿，攻击者使用勒索软件(ransomware)锁住用户的电脑文件★ღ✿✿。

　　国内多个高校校内网★ღ✿✿、大型企业内网和政府机构专网中招★ღ✿✿，文档被加密★ღ✿✿，被勒索支付高额赎金才能解密恢复文件★ღ✿✿，对重要数据造成严重损失★ღ✿✿。攻击者称需支付比特币解锁★ღ✿✿。据有关机构统计★ღ✿✿，目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击★ღ✿✿，教育网已成重灾区★ღ✿✿。

　　包括北京★ღ✿✿、上海★ღ✿✿、重庆★ღ✿✿、成都等多城的部分中石油旗下加油站在昨日0点左右突然断网★ღ✿✿，而因断网目前无法使用支付宝★ღ✿✿、微信等联网支付方式★ღ✿✿，只能使用现金★ღ✿✿。中石油有关负责人表示★ღ✿✿，怀疑受到勒索病毒攻击★ღ✿✿，具体情况还在核查处置中★ღ✿✿。中石油有关负责人表示★ღ✿✿，目前公司加油站的加油业务和现金支付业务正常运行★ღ✿✿，但是第三方支付无法使用★ღ✿✿，怀疑受到病毒攻击★ღ✿✿，具体情况还在核查处置中★ღ✿✿。

　　据分析★ღ✿✿，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的★ღ✿✿。“永恒之蓝”可远程攻击Windows的445端口（文件共享）★ღ✿✿，如果系统没有安装今年3月的微软补丁★ღ✿✿，无需用户任何操作★ღ✿✿，只要开机上网★ღ✿✿，“永恒之蓝”就能在电脑里执行任意代码★ღ✿✿，植入勒索病毒等恶意程序★ღ✿✿。

　　由于国内曾多次出现利用445端口传播的蠕虫病毒★ღ✿✿，部分运营商对个人用户封掉了445端口★ღ✿✿。但是教育网并无此限制★ღ✿✿，存在大量暴露着445端口的机器★ღ✿✿，因此成为不法分子使用NSA黑客武器攻击的重灾区★ღ✿✿。正值高校毕业季★ღ✿✿，勒索病毒已造成一些应届毕业生的论文被加密篡改大阳城集团★ღ✿✿，直接影响到毕业答辩★ღ✿✿。

　　目前★ღ✿✿，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主★ღ✿✿，受害机器的磁盘文件会被篡改为相应的后缀★ღ✿✿，图片★ღ✿✿、文档★ღ✿✿、视频★ღ✿✿、压缩包等各类资料都无法正常打开★ღ✿✿，只有支付赎金才能解密恢复★ღ✿✿。这两类勒索病毒★ღ✿✿，勒索金额分别是5个比特币和300美元★ღ✿✿，折合人民币分别为5万多元和2000多元★ღ✿✿。

　　针对校园网勒索病毒事件的监测数据显示★ღ✿✿，国内首先出现的是ONION病毒★ღ✿✿，平均每小时攻击约200次★ღ✿✿，夜间高峰期达到每小时1000多次★ღ✿✿；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击★ღ✿✿，并在中国的校园网迅速扩散★ღ✿✿，夜间高峰期每小时攻击约4000次★ღ✿✿。

　　安全专家发现★ღ✿✿，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）★ღ✿✿、远控木马组团传播★ღ✿✿，形成一个集合挖矿★ღ✿✿、远控★ღ✿✿、勒索多种恶意行为的木马病毒“大礼包”★ღ✿✿，专门选择高性能服务器挖矿牟利★ღ✿✿，对普通电脑则会加密文件敲诈钱财★ღ✿✿，最大化地压榨受害机器的经济价值★ღ✿✿。

　　针对NSA黑客武器利用的Windows系统漏洞★ღ✿✿，微软在今年3月已发布补丁修复★ღ✿✿。此前某安全中心推出的“NSA武器库免疫工具”★ღ✿✿，能够一键检测修复NSA黑客武器攻击的漏洞★ღ✿✿；对XPg9影院★ღ✿✿、2003等已经停止更新的系统★ღ✿✿，免疫工具可以关闭漏洞利用的端口★ღ✿✿，防止电脑被NSA黑客武器植入勒索病毒等恶意程序★ღ✿✿。

　　该勒索软件采用包括英语★ღ✿✿、简体中文★ღ✿✿、繁体中文等28种语言进行“本地化”★ღ✿✿。会将自身复制到每个文件夹下★ღ✿✿，并重命名为“@WanaDecryptor@.exe”★ღ✿✿。同时衍生大量语言配置等文件★ღ✿✿，该勒索软件AES和RSA加密算法★ღ✿✿，加密的文件以“WANACRY!”开头★ღ✿✿，加密如下后缀名的文件★ღ✿✿：

　　一些专家说★ღ✿✿，这种攻击应该是利用了微软系统的一个漏洞★ღ✿✿。该漏洞其实最早是美国国安局发现的★ღ✿✿，他们还给漏洞取名为Eternal Blue（永恒之蓝）★ღ✿✿。

　　然后★ღ✿✿，国安局研发的相关工具就被一个名为“影子经纪人”的黑客团体窃取了★ღ✿✿。 黑客们还尝试在一个网上拍卖中出售它们★ღ✿✿。

　　当时一些网络安全专家表示★ღ✿✿，恶意软件可能是真的★ღ✿✿，但却已经过时★ღ✿✿，因为微软在3月份就发布了这个漏洞的补丁★ღ✿✿，但问题在于★ღ✿✿，很多系统可能尚未安装更新补丁★ღ✿✿。

　　微软周五表示★ღ✿✿，其工程师已经增加了针对WannaCrypt的检测和保护★ღ✿✿。微软还说★ღ✿✿，该公司正在为客户提供帮助★ღ✿✿。

　　另外★ღ✿✿，黑客要求用户在被感染后的三天内交纳相当于300美元的比特币★ღ✿✿，三天后“赎金”将翻倍大阳城集团★ღ✿✿。七天内不缴纳赎金的电脑数据将被全部删除★ღ✿✿，对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道★ღ✿✿。提示框左边是计时器★ღ✿✿，右边则标有付款及检验付款生效的方法★ღ✿✿。

　　此次“wannacry”勒索病毒疯狂传播的原因是借助了前不久泄露的Equation Group（方程式组织）的“永恒之蓝”漏洞利用工具的代码★ღ✿✿。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞★ღ✿✿，该漏洞可影响主流的绝大部分Windows操作系统版本★ღ✿✿。

　　1★ღ✿✿、通过配置临时关闭SMB服务★ღ✿✿，依次打开控制面板---网络和 Internet---网络和共享中心---查看网络状态和任务---更改适配器设置---右键选取使用的网卡★ღ✿✿，点击属性★ღ✿✿，取消勾选Microsoft 网络文件和打印机共享★ღ✿✿，确认后重启电脑★ღ✿✿。

　　2★ღ✿✿、通过防火墙临时关闭SMB服务★ღ✿✿：依次打开控制面板---系统和安全---Windows防火墙---高级设置---使用入站规则★ღ✿✿，阻断tcp协议的445号端口的连接访问★ღ✿✿。

　　3★ღ✿✿、Window7及以上版本电脑通过微软官方更新的MS17-010补丁进行安装更新★ღ✿✿，可参考★ღ✿✿：★ღ✿✿。

　　（微软不再提供Windows XP/Windows2003系统的安全更新★ღ✿✿，低版本者建议更新操作系统版本★ღ✿✿。）

　　由于本次勒索软件危害范围之广★ღ✿✿，令微软方面提起重视★ღ✿✿，微软在今晨已发表声明将采取紧急措施以应对此次病毒袭击★ღ✿✿。微软宣称使用Windows 10系统的用户尚未受到“WannaCry”的攻击★ღ✿✿。

　　1.360天擎终端安全管理系统★ღ✿✿。安装了360天擎完整的终端安全管理套件的客户★ღ✿✿，应该开启终端的自动漏洞修复★ღ✿✿，并及时升级天擎控制台的补丁库★ღ✿✿，确保与 MS17-010 相关的补丁均已打上★ღ✿✿。在带宽允许的情况下★ღ✿✿，可以主动下发漏洞修复任务确保更快速的补丁应用★ღ✿✿。对于XP和Windows 2003等已经没有补丁支持的系统★ღ✿✿，可以借助天擎的专杀工具机制★ღ✿✿，下发脚本对终端的受影响服务进行关闭操作g9影院★ღ✿✿。

　　2. 360新一代智慧防火墙★ღ✿✿、下一代极速防火墙早在一个月前就已经通过更新IPS特征库完成了对该攻击的防护★ღ✿✿。此外★ღ✿✿，由于该攻击已开始在教育网内泛滥★ღ✿✿，不排除高校部分开放445端口的主机已被攻击★ღ✿✿，新一代智慧防火墙基于“智慧发现”★ღ✿✿、“智慧调查”特性可高效检测★ღ✿✿、统计产生此类攻击的终端IP★ღ✿✿，协助用户快速定位已失陷主机以便于及时在终端系统进行处置操作★ღ✿✿。

　　3.360天眼未知威胁感知系统的流量探针在第一时间加入了其中几款最严重的远程代码执行漏洞的攻击检测g9影院★ღ✿✿，包括EternalBlue★ღ✿✿、EternalChampion★ღ✿✿、EternalRomance★ღ✿✿、EternalSynergy等★ღ✿✿。另外★ღ✿✿，其他利用工具的检测规则在持续跟进中★ღ✿✿，请密切关注360天眼流量探针规则的更新通知★ღ✿✿。

　　4.360天眼产品的应急处置方案★ღ✿✿：360天眼流量探针（传感器）通过★ღ✿✿：系统配置-设备升级-规则升级★ღ✿✿，选择“网络升级”或“本地升级★ღ✿✿。

　　1.亚信安全深度威胁发现设备TDA★ღ✿✿。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测★ღ✿✿，让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端★ღ✿✿，以实施相对应的响应措施★ღ✿✿。同时★ღ✿✿，用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击★ღ✿✿。

　　4.亚信安全深度威胁邮件网关DDEI★ღ✿✿。针对加密勒索软件攻击★ღ✿✿，用户需要在Web和Mail两个入口严加防范★ღ✿✿。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击★ღ✿✿，只需在Web渠道通过IPS或防火墙规则即可拦截★ღ✿✿，但广大用户切不可掉以轻心★ღ✿✿，因为还有大量的勒索软件攻击是通过邮件渠道发起的★ღ✿✿，我们还需要在邮件入口处加以防范★ღ✿✿，防止勒索软件卷土重来★ღ✿✿。

　　1.目前微软已发布补丁MS17-010修复了“永恒之蓝”工具所利用的系统漏洞★ღ✿✿，请尽快为电脑安装此补丁★ღ✿✿。补丁下载链接★ღ✿✿：

　　2.请注意微软只会为仍在服务期内的版本发布补丁★ღ✿✿，对于较早的已不在服务期内的版本（Windows 7之前版本★ღ✿✿，Windows Server 2008之前版本）★ღ✿✿，微软不会发布补丁★ღ✿✿。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁★ღ✿✿。如果无法升级到服务期内的版本★ღ✿✿，建议用户部署基本的防火墙★ღ✿✿，禁止电脑直接使用公网IP★ღ✿✿。

　　3.在Windows系统上关闭不必要开放的端口g9影院★ღ✿✿，如445★ღ✿✿、135★ღ✿✿、137★ღ✿✿、138★ღ✿✿、139等★ღ✿✿，并关闭网络共享★ღ✿✿。

　　做好重要文件的备份工作（非本地备份）★ღ✿✿； 开启系统防火墙★ღ✿✿；利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）★ღ✿✿；打开系统自动更新★ღ✿✿，并检测更新进行安装★ღ✿✿；停止使用Windows XP★ღ✿✿、Windows 2003等微软已不再提供安全更新的操作系统★ღ✿✿；如无需使用共享服务建议关闭该服务★ღ✿✿。

　　2.已部署端点安全的终端应急解决方案★ღ✿✿。如果用户已经部署终端管理类产品★ღ✿✿，如北信源★ღ✿✿，天珣★ღ✿✿、联软等★ღ✿✿；通过终端管理软件进行内网打补丁★ღ✿✿；通过主机防火墙关闭入栈流量★ღ✿✿。主机防火墙关闭到445出栈流量★ღ✿✿；开启文件审计★ღ✿✿，只允许word.exe★ღ✿✿，explore.exe等对文件访问★ღ✿✿； 升级病毒库★ღ✿✿，已部署天珣防病毒的用户★ღ✿✿，支持查杀★ღ✿✿。

　　3.网络应急解决方案★ღ✿✿。在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接★ღ✿✿；在内网核心主干交换路由设备禁止135/137/139/445端口的连接★ღ✿✿；如果有部署入侵防御等防护系统则尽快检查漏洞库升级★ღ✿✿，开启防御策略★ღ✿✿；发布通知重点留意邮件★ღ✿✿、移动存储介质等传播渠道★ღ✿✿，做好重点检查防护工作★ღ✿✿。

　　4.已经感染解决方案★ღ✿✿。断开网络连接★ღ✿✿，阻止进一步扩散★ღ✿✿；优先检查未感染主机的漏洞状况（可直接联系启明星辰★ღ✿✿，提供免费检测工具使用）★ღ✿✿，做好漏洞加固工作后方可恢复网络连接★ღ✿✿；已经感染终端★ღ✿✿，根据终端数据类型决定处置方式★ღ✿✿，如果重新安装系统则建议完全格式化硬盘★ღ✿✿、使用新操作系统★ღ✿✿、完善操作系统补丁★ღ✿✿、通过检查确认无相关漏洞后再恢复网络连接★ღ✿✿。

　　5.内部排查应急方案★ღ✿✿。若用户已部署漏洞扫描类产品★ღ✿✿，可联系厂商获得最新漏洞库的支持★ღ✿✿；已部署启明星辰天镜漏扫产品的用户★ღ✿✿，请大家升级至最新漏洞库即可★ღ✿✿，建议使用漏扫6070以上版本进行扫描★ღ✿✿，最新漏洞库607000088★ღ✿✿。实现对内部Windows主机资产的漏洞情况排查★ღ✿✿；未部署相关产品的用户★ღ✿✿，可联系厂商获得产品试用应急★ღ✿✿。

　　6.无法关闭服务端口的应急解决方案★ღ✿✿。若用户已部署UTM/IPS入侵防御类产品★ღ✿✿，可联系厂商获得最新事件库的支持★ღ✿✿；已部署启明星辰天清入侵防护类产品（IPS/UTM）的用户★ღ✿✿，请大家升级至最新事件库并下发相应规则即可实现对内部Windows主机的防护★ღ✿✿；未部署相关产品的用户★ღ✿✿，可联系厂商获得产品试用应急★ღ✿✿。

　　迪普安全设备防御方案★ღ✿✿：更新迪普科技IPS最新版本漏洞特征库★ღ✿✿，并对14221★ღ✿✿，14222特征规则配置阻断策略★ღ✿✿。在迪普科技防火墙设备上对445号端口配置阻断策略★ღ✿✿。

　　（1）及时安装补丁★ღ✿✿：微软已发布补丁★ღ✿✿，修复了“永恒之蓝”攻击的系统漏洞★ღ✿✿，补丁编码MS17-010★ღ✿✿，请尽快按照如下链接安装★ღ✿✿。

　　（2）关闭445端口与相关服务★ღ✿✿。打开控制面板中的Windows防火墙★ღ✿✿，并保证防火墙处于启用状态★ღ✿✿，打开防火墙的高级设置★ღ✿✿，在“入站规则”中新建一条规则★ღ✿✿，本地端口号选择445★ღ✿✿，操作选择阻止连接★ღ✿✿，同事建议关闭135★ღ✿✿、137★ღ✿✿、138★ღ✿✿、139★ღ✿✿。

　　（3）备份与升级★ღ✿✿。使用U盘★ღ✿✿、移动硬盘备份电脑中的文件★ღ✿✿，重要文件采用不可逆的加密算法进行加密★ღ✿✿。建议使用微软较高版本的windows系统★ღ✿✿，并自动修复补丁★ღ✿✿，保持补丁版本的最新★ღ✿✿。

　　在过去几年间★ღ✿✿，类似“红色代码”★ღ✿✿、“震荡波”★ღ✿✿、“冲击波”等大规模蠕虫感染带来的网络拥塞★ღ✿✿，系统大面积异常等事件日趋减少★ღ✿✿。而对基于PC节点的大规模僵尸网络的关注也开始不断下降★ღ✿✿，类似Mirai等IoT僵尸网络开始成为注意力的焦点★ღ✿✿。这使传统IT网络开始陷入一种假想的“平静”当中★ღ✿✿。由于Windows自身在DEP★ღ✿✿、ASLR等方面的改善★ღ✿✿， 使一击必杀的系统漏洞确实在日趋减少★ღ✿✿，主流的攻击面也开始向应用开始转移★ღ✿✿。在这种表面上的平静之中★ღ✿✿，以窃密g9影院★ღ✿✿、预制为目的的APT攻击★ღ✿✿，则由于其是高度隐秘的★ღ✿✿、难以为IT资产的管理者感知到的攻击★ღ✿✿，始终未能得到足够的重视★ღ✿✿。而黑产犯罪的长尾化★ღ✿✿，针对性的特点★ღ✿✿，也使其并不依赖极为庞大的受害人群分布★ღ✿✿，即可获得稳定的黑色收益★ღ✿✿。因此在过去几年★ღ✿✿，内网安全风险是围绕高度隐蔽性和定向性展开的★ღ✿✿，这种风险难以感知的特点★ღ✿✿，导致内网安全未得到有效的投入和重视★ღ✿✿。也为导致今天的大规模安全灾难形成了必然基础★ღ✿✿。勒索软件的一大特点★ღ✿✿，是其威胁后果是直接可见的★ღ✿✿。这种极为惨烈的损失★ღ✿✿，昭示了内网安全的欠账★ღ✿✿。也说明我们长期在简单的边界防护★ღ✿✿、物理隔离和内部的好人假定的基础上经营出安全图景★ღ✿✿，是一种“眼不见为净”式的自欺★ღ✿✿，无法通过攻击者的检验★ღ✿✿。返回搜狐★ღ✿✿，查看更多