一、勒索软件情况
4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
表 有可能通过445端口发起攻击的漏洞攻击工具
工具名称 |
主要用途 |
ETERNALROMANCE |
SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 |
EMERALDTHREAD |
SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003 |
EDUCATEDSCHOLAR |
SMB服务漏洞,对应MS09-050漏洞,针对445端口 |
ERRATICGOPHER |
SMBv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,不影响windows Vista及之后的操作系统 |
ETERNALBLUE |
SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从WindowsXP到Windows 2012 |
ETERNALSYNERGY |
SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012 |
ETERNALCHAMPION |
SMB v2漏洞,针对445端口 |
综合CNVD技术组成员单位奇虎360公司、安天公司等单位已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞 (MS17-010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。
而用户主机上的重要数据文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件,都被恶意加密且后缀名统一修改为 “。WNCRY”。
目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
二、应急处置措施
根据CNVD秘书处普查的结果,互联网上共有900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。CNCERT已经着手对勒索软件及相关网络攻击活动进行监测,目前共发现有向全球70多万个目标直接发起的针对MS17-010漏洞的攻击尝试。
据此,建议广大用户及时更新 Windows已发布的安全补丁,同时做好在网络边界、内部网络区域、主机资产、数据备份等方面的工作。
补丁下载地址:点击跳转
请在此页面根据计算机所用操作系统进行下载安装,支持的操作系统为Windows7、Windows8、Windows 2008等,注意正确选择对应的版本,以及32位或64位版本。
====================================================
老旧操作系统临时处置方式:
对于 Windows XP、Windows 2003等较陈旧的系统,可按下面的方法进行应急处置。
(一)关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
1、开始——运行——dcomcnfg——选择“计算机”——右击右侧的“我的电脑”——属性——在“默认属性”中去除“在此计算机上启用分布式COM”——在“默认协议”中删除“面向连接的TCP/IP"默认协议——关闭Dcomcnfg;
2、打开网络连接的属性——去除”Microsoft网络 的文件和打印机共享"及”Microsoft网络客户端“前的勾——应用;
3、选择“Internet协议”——属性——高级——勾选“禁用TCP/IP的NETBIOS”;
4、修改注册表:定位到HLM/system/currentcontrolset/services/netbt/parameters/
找到SMBDeviceEnabled项(如果没有可新建一个Dword项),将其值置为0
(二)加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(三)由于微软对部分操作系统停止安全更新,建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持),使用替代操作系统。
(四)做好信息系统业务和个人数据的备份。