关于全球爆发大规模勒索软件感染事件的通知
尊敬的校园网用户:
2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,教育行业尤为严重。被病毒感染的电脑可能会出现类似下图所示:
此类勒索病毒传播扩散利用了基于445端口的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。此漏洞影响以下未自动更新的操作系统:
Windows XP/Windows2000/Windows 2003
Windows Vista/WindowsServer 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
为控制病毒感染扩散,请各位用户务必对个人的电脑终端进行升级和打补丁,做好一切安全防范措施,以下为大家提供一些预防措施和办法,供大家参考使用:
1、提前做好重要文件备份;
2、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。及时更新到操作系统的最新版本;
3、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请广大师生尽快为电脑安装此补丁,详见微软官网:https://technet.microsoft.com/zh-cn/library/security/MS17-010;
4、对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe
(目前,微软针对XP、2003等操作系统又临时提供了更新补丁,下载地址为:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)
5、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
6、打开控制面板——网络和共享中心——更改适配器设置——右键点击正在使用的网卡然后点击属性——取消勾选Microsoft网络文件和打印机共享——确定——重启系统。
7、禁用危险端口的攻略,以windows 7操作系统为例:
首先,Win+R打开运行,输入gpedit.msc进入组策略编辑器。
在左侧边栏中,依次选取 “Windows 设置 - 安全设置- IP安全策略,在 本地计算机”
接下来右键单击 “IP安全策略,在 本地计算机”,并选择“创建IP安全策略”,随后在跳出的“IP安全策略向导”中右键
在第二步的名称中输入“关闭139,445”然后一路“下一步”
然后单击“完成”
在随后跳出的“关闭139,445”属性窗口中,单击添加。需要注意的是不要勾选右下角的“使用添加向导”
然后在"新规则 属性"窗口中,单击左下角的"添加"
需要注意的是这里也不要点击右下角的"使用添加向导"
在弹出的IP筛选器属性窗口的地址选项卡中,原地址选择“任何IP地址”,目标地址选择“任何IP地址”
然后选择协议选项卡,选择协议类型为:TCP,设置IP协议端口为"从任意端口""到此端口":445,并单击确定。
需要注意的是这里也不要点击右下角的"使用添加向导"
在新筛选器操作属性中,选择“阻止”,并切换到常规选项卡,将名称改为阻止。
单击确定,回到新规则属性窗口中的筛选器操作,勾选刚才建立的“阻止”,在切换到IP筛选器列表,勾选刚才建立的“445”。然后单击应用,再单击关闭。
回到组策略编辑器,右键单击右侧刚才创建的“关闭139,445”,在右键菜单当中选择分配,就成功关闭了445端口。
同样的方式关闭135、137、139端口
信息技术中心
2017年5月13日