齐鲁网济南5月14日讯(记者 唐福晨)5月14日上午,360威胁情报中心发布了WannaCrypt(永恒之蓝)勒索蠕虫最新态势,截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招,是此次事件的重灾区。

  根据360威胁情报中心的统计,在短短一天多的时间,WannaCrypt(永恒之蓝)勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织,其中包括1600家美国组织,11200家俄罗斯组织。

  国内被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。

  在山大中心校区文理图书馆大厅里,一台用来介绍排位机用法的电脑受到“wanna cry永恒之蓝”勒索病毒感染,显示屏弹出一个对话框,上面写到,这台电脑内的重要文件已经被黑客加密保存,“没有黑客的解密服务,就算老天爷来了也不能恢复文档”。黑客要求电脑用户三天之内支付价值300美元的比特币到指定账户地址,要是过了三天,费用就会翻倍,不付钱,文档就会丢失。

  在山大中心校区,受到勒索病毒感染的还有蒋震图书馆。受病毒感染影响,平常人满为患的4楼信息大厅阅览室也贴出公告,暂停开放,具体开放时间还不确定,整个阅览室空无一人。工作人员说,信息共享中心目前已经瘫痪,正在进行系统升级。

  360威胁情报中心统计,从行业分布来看,教育科研机构成为最大的重灾区。共有4316个教育机构IP被发现感染永恒之蓝勒索蠕虫,占比为14.7%;其次是生活服务类机构,3302个,占比11.2%;商业中心(办公楼、写字楼、购物中心等)3014个,占比10.3%,交通运输2686个,占比9.1%。另有1053个政府、事业单位及社会团体,706个医疗卫生机构、422个企业,以及85个宗教设施的IP都被发现感染了永恒之蓝勒索蠕虫。

  在受影响的地区中,江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

  WannaCry(永恒之蓝)勒索蠕虫是从5月12日开始突然在全球爆发的勒索蠕虫攻击,包括英国医疗系统、快递公司FedEx、俄罗斯内政部、俄罗斯电信公司Megafon、西班牙电信都被攻陷。WannaCrypt(永恒之蓝)勒索蠕虫利用的是泄露的NSA网络军火库中的永恒之蓝攻击程序,这是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

  鉴于WannaCry(永恒之蓝)勒索蠕虫影响呈现严重态势,360企业安全专门为国内大型机构发布了永恒之蓝勒索蠕虫紧急处置手册,帮助国内大型机构防范永恒之蓝勒索蠕虫。(http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458355)

  建议国内各大型机构采取以下紧急处置措施:

  1、 确认影响范围

  ● 潜在受影响系统确认

  扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。

  ● 已感染蠕虫系统发现

  被感染的机器屏幕会显示如下的告知付赎金的界面:

  360企业安全天眼系统已经更新了检测规则,自动更新规则以后,对发生感染的系统会产生告警。

  2、应急处置方法

  在网络层面,目前利用漏洞进行攻击传播的蠕虫开始泛滥,360企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问,如果边界上有IPS和360天堤智慧防火墙之类的设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

  在终端层面,如果发现445端口开放,需要关闭Server服务。

  360企业安全天擎团队已经针对WannaCry勒索蠕虫开发了一个免疫工具,此程序在电脑上运行以后,现有蠕虫将不会感染系统。(免疫工具下载地址:http://b.360.cn/other/onionwormimmune)

  360企业安全新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,通过更新IPS特征库和应用识别特征库已经完成了蠕虫变种的防护和识别,强烈建议用户尽快将IPS特征库及应用识别特征库均升级至“20170513”版本。

  对于已经感染勒索蠕虫的机器建议隔离处置。

  3、 根治方法

  对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。

  对于Windows XP、2003等微软按计划已不再提供安全更新的机器,针对本次影响巨大的网络攻击事件,微软特别提供了补丁,请到如下网址下载安装:

  http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

  出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务,操作方法见 应急处置方法 节。

  4、 恢复阶段

  建议针对重要业务系统立即进行数据备份,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

  国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。