背景
5月12日晚,一款名為Wannacry的蠕蟲勒索軟件襲擊全球網絡,這被認為是迄今為止最巨大的勒索交費活動,影響到近百個國家上千家企業及公共組織。 該軟件被認為是一種蠕蟲變種(也被稱為“wannacryptor”或“ wcry”)。 像其他勒索軟件的變種一樣,
一旦電腦感染了Wannacry病毒,受害者要高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。
研究人員還發現了大規模惡意電子郵件傳播,以每小時500封郵件的速度傳播傑夫勒索軟件,攻擊世界各地的計算機。
“永恆之藍”利用
0day漏洞
,通過445端口(文件共享)在內網進行蠕蟲式感染傳播,沒有安裝安全軟件或及時更新系統補丁的其他內網用戶就極有可能被動感染,所以目前感染用戶主要集中在企業、高校等內網環境下。感染該蠕蟲病毒變種,系統重要資料文件就會被加密,並勒索高額的比特幣贖金,折合人民幣2000-50000元不等。
背景
5月12日晚,一款名為Wannacry 的蠕蟲勒索軟件襲擊全球網絡,這被認為是迄今為止最巨大的勒索交費活動,影響到近百個國家上千家企業及公共組織。 該軟件被認為是一種蠕蟲變種(也被稱為“wannacryptor”或“ wcry”)。 像其他勒索軟件的變種一樣,
一旦電腦感染了Wannacry病毒,受害者要高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。
研究人員還發現了大規模惡意電子郵件傳播,以每小時500封郵件的速度傳播傑夫勒索軟件,攻擊世界各地的計算機。
“永恆之藍”利用
0day漏洞
,通過445端口(文件共享)在內網進行蠕蟲式感染傳播,沒有安裝安全軟件或及時更新系統補丁的其他內網用戶就極有可能被動感染,所以目前感染用戶主要集中在企業、高校等內網環境下。感染該蠕蟲病毒變種,系統重要資料文件就會被加密,並勒索高額的比特幣贖金,折合人民幣2000-50000元不等。
445端口:
查看445端口是否開放,根據端口開啟情況決定是否關停server服務。查看445端口開啟的方法:
步驟1:單擊“開始”->“運行”,輸入“cmd”
步驟2:在cmd命令窗口中輸入“netstat -an ”,查看445端口狀態。
如果445端口處於“listening”,則執行“net stop server”暫時關停server服務。
解決方案
方法1: 從微軟官網下載MS17-010補丁修復此缺陷,一勞永逸。
方法2:開啟Windows系統防火牆,屏蔽445端口。
下文以Windows7系統為例,操作步驟如下:
步驟1:打開"控制面板",單擊"Windows"防火牆
步驟2:在彈出的對話框中單擊"高級設置"。
步驟3:在"高級安全 Windows 防火牆"界面中,分別單擊"入站規則"->"新建規則..."。
步驟4:在"新建入站規則向導"中配置"協議和端口 "。其中協議類型選擇TCP,適用端口設置為445,單擊"下一步"。
步驟5:在"新建入站規則向導"中配置 "操作",選擇"阻止連接"后單擊"下一步"。
步驟6:在"新建入站規則向導"中配置 "配置文件",勾選所有選項后單擊"下一步"。
步驟7:在"新建入站規則向導"中配置"名稱",輸入新建規則的名稱后單擊"完成",即配置完畢。
方法3:關閉 SMBv1 服務
3.1 適用於運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶
對於客戶端操作系統:
打開“控制面板”,單擊“程序”,然后單擊“打開或關閉 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復選框,然后單擊“確定”以關閉此窗口。
重啟系統。
3.2 對於服務器操作系統:
打開“服務器管理器”,單擊“管理”菜單,然后選擇“刪除角色和功能”。
在“功能”窗口中,清除“SMB 1.0/CIFS
文件共享支持”復選框,然后單擊“確定”以關閉此窗口。
重啟系統。
3.3適用於運行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注冊表
注冊表路徑︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建項︰ SMB1,值0(DWORD)
重新啟動計算機
關於影響的操作系統范圍和對應的補丁號碼詳情請見:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx