齊魯網濟南5月14日訊(記者 唐福晨)5月14日上午,360威脅情報中心發布了WannaCrypt(永恒之藍)勒索蠕蟲最新態勢,截至到5月13日20點,國內也有29372家機構組織的數十萬臺機器感染,其中有教育科研機構4341家中招,是此次事件的重災區。

  根據360威脅情報中心的統計,在短短一天多的時間,WannaCrypt(永恒之藍)勒索蠕蟲已經攻擊了近百個國家的超過10萬家企業和公共組織,其中包括1600家美國組織,11200家俄羅斯組織。

  國內被感染的組織和機構已經覆蓋了幾乎所有地區,影響范圍遍布高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域,被感染的電腦數字還在不斷增長中。

  在山大中心校區文理圖書館大廳里,一臺用來介紹排位機用法的電腦受到“wanna cry永恒之藍”勒索病毒感染,顯示屏彈出一個對話框,上面寫到,這臺電腦內的重要文件已經被黑客加密保存,“沒有黑客的解密服務,就算老天爺來了也不能恢復文檔”。黑客要求電腦用戶三天之內支付價值300美元的比特幣到指定賬戶地址,要是過了三天,費用就會翻倍,不付錢,文檔就會丟失。

  在山大中心校區,受到勒索病毒感染的還有蔣震圖書館。受病毒感染影響,平常人滿為患的4樓信息大廳閱覽室也貼出公告,暫停開放,具體開放時間還不確定,整個閱覽室空無一人。工作人員說,信息共享中心目前已經癱瘓,正在進行系統升級。

  360威脅情報中心統計,從行業分布來看,教育科研機構成為最大的重災區。共有4316個教育機構IP被發現感染永恒之藍勒索蠕蟲,占比為14.7%;其次是生活服務類機構,3302個,占比11.2%;商業中心(辦公樓、寫字樓、購物中心等)3014個,占比10.3%,交通運輸2686個,占比9.1%。另有1053個政府、事業單位及社會團體,706個醫療衛生機構、422個企業,以及85個宗教設施的IP都被發現感染了永恒之藍勒索蠕蟲。

  在受影響的地區中,江蘇、浙江、廣東、江西、上海、山東、北京和廣西排名前八位。

  WannaCry(永恒之藍)勒索蠕蟲是從5月12日開始突然在全球爆發的勒索蠕蟲攻擊,包括英國醫療系統、快遞公司FedEx、俄羅斯內政部、俄羅斯電信公司Megafon、西班牙電信都被攻陷。WannaCrypt(永恒之藍)勒索蠕蟲利用的是泄露的NSA網絡軍火庫中的永恒之藍攻擊程序,這是NSA網絡軍火民用化的全球第一例。一個月前,第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恒之藍”攻擊程序。

  鑒于WannaCry(永恒之藍)勒索蠕蟲影響呈現嚴重態勢,360企業安全專門為國內大型機構發布了永恒之藍勒索蠕蟲緊急處置手冊,幫助國內大型機構防范永恒之藍勒索蠕蟲。(http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458355)

  建議國內各大型機構采取以下緊急處置措施:

  1、 確認影響范圍

  ● 潛在受影響系統確認

  掃描內網,發現所有開放445 SMB服務端口的終端和服務器,對于Win7及以上版本的系統確認是否安裝了MS17-010補丁,如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁,只要開啟SMB服務就受影響。

  ● 已感染蠕蟲系統發現

  被感染的機器屏幕會顯示如下的告知付贖金的界面:

  360企業安全天眼系統已經更新了檢測規則,自動更新規則以后,對發生感染的系統會產生告警。

  2、應急處置方法

  在網絡層面,目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫,360企業安全強烈建議網絡管理員在網絡邊界的防火墻上阻斷445端口的訪問,如果邊界上有IPS和360天堤智慧防火墻之類的設備,請升級設備的檢測規則到最新版本并設置相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。

  在終端層面,如果發現445端口開放,需要關閉Server服務。

  360企業安全天擎團隊已經針對WannaCry勒索蠕蟲開發了一個免疫工具,此程序在電腦上運行以后,現有蠕蟲將不會感染系統。(免疫工具下載地址:http://b.360.cn/other/onionwormimmune)

  360企業安全新一代智慧防火墻(NSG3000/5000/7000/9000系列)和下一代極速防火墻(NSG3500/5500/7500/9500系列)產品系列,通過更新IPS特征庫和應用識別特征庫已經完成了蠕蟲變種的防護和識別,強烈建議用戶盡快將IPS特征庫及應用識別特征庫均升級至“20170513”版本。

  對于已經感染勒索蠕蟲的機器建議隔離處置。

  3、 根治方法

  對于Win7及以上版本的操作系統,目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。

  對于Windows XP、2003等微軟按計劃已不再提供安全更新的機器,針對本次影響巨大的網絡攻擊事件,微軟特別提供了補丁,請到如下網址下載安裝:

  http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

  出于基于權限最小化的安全實踐,建議用戶關閉并非必需使用的Server服務,操作方法見 應急處置方法 節。

  4、 恢復階段

  建議針對重要業務系統立即進行數據備份,針對重要業務終端進行系統鏡像,制作足夠的系統恢復盤或者設備進行替換。

  國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球范圍內爆發的WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能通過注冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民盡快升級安裝Windows操作系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。