事件背景:
年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,影响覆盖美国、俄罗斯、整个欧洲等多个国家,国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
漏洞描述:
目前国内多处高校网络和企业内网出现WannaCry勒索软件感染情况,磁盘文件会被病毒加密,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用端口传播的蠕虫,部分运营商在主干网络上封禁了端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露端口且存在漏洞的电脑,导致目前蠕虫的泛滥
影响范围:
系统:Windwos系统
范围:所有开放服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-补丁,如没有安装则受威胁影响。Win7以下的WindowsXP/目前没有补丁,只要开启SMB服务就受影响。
应急处置手段:
目前利用漏洞进行攻击传播的蠕虫开始泛滥,请各相关专业网络管理员在网络边界的防火墙上阻断端口的访问,如业务系统不使用Server服务,建议关闭系统的Server服务,并请通过windows官方渠道升级MS07-补丁。
一、禁用端口
系统:Win7、Win8、Win10系统
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
2、选择启动防火墙,并点击确定
3、点击高级设置
4、点击入站规则,新建规则
5、选择端口,下一步
6、特定本地端口,输入,下一步
7、选择阻止连接,下一步
8、配置文件,全选,下一步
9、名称,可以任意输入,完成即可。
系统:XP系统
1、依次打开控制面板,安全中心,Windows防火墙,选择启用
2、点击开始,运行,输入cmd,确定执行下面三条命令
netstoprdr
netstopsrv
netstopnetbt
一、禁用端口
系统:Win7、Win8、Win10系统
可通过控制面板中windowsupdate系统升级到最新补丁即可
或者下载补丁安装(由于网络问题可能导致页面访问不成功,建议采用windowsupdate升级)
