1、湖南财政经济学院网络信息中心 勒索病毒 威胁预警及临时解决方案 5 月 12 日晚间,全球爆发了一系列勒索软件( Wannacry)的感染事件。国内大量企业遭到感染,多个高校的教育网受到感染,导致系统瘫痪。同时据英国广播电视台 BBC 报道,全球同一时间也爆发了多起勒索软件感染的事件,英国多家医院被感染,该勒索软件会加密被感染系统上的资料和数据,要求支付相应的赎金才会解密和恢复。包括俄罗斯,意大利,大部分欧洲国家,以及国内多所高校均被感染。 相关地址: https:/ http:/ 勒索软件 Wannacry 据悉,此次勒索软件是一个名为“ Wannacry”的全新家族,目前还无法解密被该软件
2、加密的资料和数据。该软件是利用了之前斱程式组织泄漏的大量 Windows 漏洞文件中的一个 SMB漏洞( MS17-010),微软官斱已经在 3 月份发布了相关修复补丁,但由于部分用户没能及时安装修复该漏洞,导致了该勒索软件的大规模感染及攻击。 软件感染实例如下: 当系统被该勒索软件入侵后,弹出勒索对话框: 湖南财政经济学院网络信息中心 图 1 勒索界面 加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件 后缀名被统一修改为“ .WNCRY”。 图 2 加密后的文件名 受影响及丌受影响的版本情况 由于目前分析该勒索软件利用了之前 MS17-010 的
3、一个 SMB 漏洞,因此没有修复该漏洞的系统均有可能遭到感染,请用户及时下载更新系统版本来防护。请参考链接: MS17-010 漏洞的详细信息 湖南财政经济学院网络信息中心 临时防护斱案 1. 由于该勒索软件利用了一个微软官方的 SMB漏洞,请用 户及时检查是否安装了相关的修复补丁,并确保已经下载安装了相关补丁,参考链接: 1、升级针对 ms17-010的微软的漏洞补丁,可以采用自动更新或下载更新补丁的方法,补丁更新地址如下: Windows Vista、 Windows Server 2008 http:/ Windows 7、 Windows Server 2008 R2 http:/ W
4、indows 8.1、 Windows Server 2012 R2 http:/ Windows RT 8.1 http:/ Windows Server 2012 http:/ 2. 用户可以启动 Windows 防火墙并关闭系统 137,139,445 等 smb端口 来阻止外部的连接请求。 关闭网络共享;打开系统自动更新,并检测更新进行安装 打开控制面板 -系统与安全 -Windows 防火墙,点击左侧启动或关闭 Windows 防火墙 选择启动防火墙,并点击确定 湖南财政经济学院网络信息中心 点击入站规则,新建规则 选择端口、下一步 湖南财政经济学院网络信息中心 特定本地端口,输入
5、445, 139,137,下一步 湖南财政经济学院网络信息中心 选择阻止连接,下一步 配置 文件,全选,下一步 湖南财政经济学院网络信息中心 名称,可以任意输入,完成即可。 XP 系统的处理流程 依次打开控制面板,安全中心, Windows 防火墙,选择启用 湖南财政经济学院网络信息中心 点击开始,运行,输入 cmd, 复制下面三条命令并 确定执行下面三条命令 net stop rdr net stop srv net stop netbt 由于微软已经丌再为 XP 系统提供系统更新,建议用户尽快升级到高版本系统。 特别重要提示:做好 系统中的重要文件 备份,将重要文件备份到 U盘或其他移动硬盘。 个人电脑用户安全检测修复工具: http:/
