时间:2017-05-14 来源:u小马 访问:次
昨日起全球爆发大规模勒索软件感染事件,记者从沪上多所高校获悉,本市多所高校已经发出紧急通知,请师生及时应对。
在华东政法大学,信息办及时做了紧急应对措施,例如,在内外防火墙设备禁止外网对校园网135/137/139/445端口的连接,在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接,关停不在业务期的应用系统等。同时,学校通过官微发出紧急通知,提供解决方案,请师生据此对自己的电脑及时进行升级并打补丁。
病毒为何来势汹汹?上海市信息安全行业协会会长、众人科技创始人谈剑峰解读,用最简单的话说,这一病毒肆虐的原因就是电脑没有及时安装补丁更新,被漏洞利用程序攻击。感染勒索软件的电脑被锁定,文件被加密,勒索软件运用了高强度的加密算法使得目前难以破解,受害者目前只能乖乖付钱消灾。攻击者甚至叫嚣,如果在规定时间不付钱,金额翻倍,甚至删除文件。
谈剑峰介绍,事实上,这次蠕虫来袭并非毫无征兆。2003年8月,冲击波病毒(W32.Blaster.Worm)肆虐全球,病毒运行时会不停地利用IP扫描技术寻找网络上系统为win2000或XP的计算机,找到后利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。当时,为了控制蠕虫病毒的扩散,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此安全策略的部署与端口限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致此次目前勒索蠕虫病毒的泛滥。
今年3月,微软发布安全公告 MS17-010,Microsoft windows SMB 服务器安全更新 (4013389),等级为严重。漏洞说明是:如果攻击者向 windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。4月,黑客组织 Shadow Brokers 从美国国家安全局(NSA)盗取了多个 windows 攻击工具并公布。此次勒索蠕虫攻击代码部分即基于这些攻击库中的EtenalBlue(永恒之蓝)。仅仅1个月后,基于EtenalBlue(永恒之蓝)的勒索蠕虫肆虐,真实的发生在我们身边。
谈剑峰建议,当病毒来袭,企事业单位网络管理员要做的则是,首先要设置安全策略,在网络边界防火墙上阻断445端口的访问,并在计算机上,暂时关闭Server服务。
“备份,备份,还是备份。”作为国内信息安全领域的资深专家,谈剑峰反复强调,数据备份是对抗勒索软件最有效的办法,一定不能懒惰,一定不能有侥幸心理,无论是个人还是企事业而单位,务必要针对重要业务系统进行数据备份。