当前位置:首页 > 信息安全 > 安全通告 > 详情
安全漏洞预警通告-关于勒索病毒及变种病毒的安全处置
2019年03月14日   

  1.勒索病毒概述

  自2017年5月互联网上出现针对Windows操作系统的Wannacry蠕虫病毒攻击,该病毒利用Windows SMB(共享信息服务,端口号445)服务的漏洞(对应微软漏洞公告MS17-010,2017年3月发布,但当时不含XP、VISTA等微软不支持维护的老版本操作系统),向Windows终端用户进行入侵攻击。入侵后可获取操作系统权限,并可进行任何操作。目前一种主流的攻击利用方式勒索,加密用户数据,向用户勒索比特币或其他价值财物。

  2.病毒攻击原理

  勒索病毒及变异病毒主要利用斯诺登曝光的美国国家安全局(NSA)黑客武器库中的一种名叫“永恒之蓝”攻击武器发起的蠕虫病毒攻击并传播勒索恶意软件。被WannaCry蠕虫病毒感染的主机会利用与美国国家安全局攻击思路(Fuzzbunch框架)自动化调用相关的ETERNALBLUE(永恒之蓝)模块和DOUBLEPULSAR后门程序,通过扫描IP地址可达且开放445端口号的Windows主机,攻击入侵主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。

  蠕虫病毒扩散过程自动化、智能化,在互联网上和局域网内扩散迅速,波及范围大。运行Windows操作系统主机只要开放445端口号且未打补丁,病毒既能通过互联网、局域网在用户windows操作系统植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

  3.安全防护策略与加固建议

  操作系统层防护策略

  1)关闭不必要开放的端口如445、135、137、138、139等,关闭网络共享(控制面板>程序>打开或关闭 Windows 功能>SMB 1.0/CIFS 文件共享支持>重启系统)。

  2)更新windows操作系统补丁(Win7及以上版本的系统,安装MS07-010补丁, Windows XP/2003系统下载13日发布补丁,下载网址如下:

  https://technet.microsoft.com/zh-cn/library/security/MS17-010

  http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

  网络层防护策略

  1)互联网出口处的防火墙,配置访问控制策略阻断双向445端口,阻断外部攻击。

  2)内网不同安全边界的防火墙,配置访问控制策略阻断双向445端口,防止内网可能存在的蠕虫扩散。

  3)加强对445等端口(其他关联端口如:135、137、138、139)的内部网络区域访问审计和流量审计,以有利于及时发现非授权行为或潜在的攻击行为;

  4.检测防御措施

  1)尝试利用360勒索蠕虫病毒文件恢复工具,下载网址如下:

  https://dl.360safe.com/recovery/RansomRecovery.exe

  2)防御检查工具,下载网址如下:

  http://lesuobingdu.360.cn/