尊敬的簡界用戶:
網絡安全問題從未讓人如(rú)此聞風喪膽。
5月13日,全球多國爆發電腦勒索病毒—WannaCry開笑,受害者電腦會(huì)被黑客鎖定,提示支付價值相當于300線相美元的比特币才可解鎖。此病毒傳播規模非常巨大(dà),目前已經波及9舊湖9個國家(jiā)。
是誰在開(kāi)展攻擊?
一些專家(jiā)說(shuō),這種攻擊應該是利用了購筆微軟系統的一個漏洞。該漏洞其實最早是美國國安局發現的,他(白工tā)們(men)還給漏洞取名為(wèi)EternalBlue知風。
然後,國安局研發的相關工(gōng)具就被一個名為(wèi)“影商樹子(zǐ)經紀人”的黑客團體竊取了。 黑客們(men)還嘗試在一公懂個網上拍賣中出售它們(men)。
但是,黑客們(men)之後又決定免費提供這些工(gō冷道ng)具,并在4月8日發布了加密密碼。黑客們(哥務men)表示,他(tā)們(men)發布密碼,是為(wèi路學)了對美國總統唐納德·特朗普表示“抗議”。當時(shí日我)一些網絡安全專家(jiā)表示,惡意軟件可能是真的,但卻已經過時(s日新hí),因為(wèi)微軟在3月份就發布了這個漏洞的補丁,但問題雪購在于,很多系統可能尚未安裝更新補丁。
攻擊規模有多大(dà)?
目前已經有99個國家(jiā)遭受了攻擊,你短其中包括英國、美國、中國、俄羅斯、西班牙和意大(dà)利。反病毒軟站日件廠商 Avast表示,世界各地出現的WannaCry勒索病毒案例已經增個物加到了7.5萬個。
反病毒廠商Avast的專家(jiā)Jakub Kroustek說(shu器是ō):“這個規模非常巨大(dà)。”
什麼是勒索病毒?
很多研究人員說(shuō),這些勒索案例似短哥乎彼此之間存在聯系,但他(tā)們(men)表示,這可能不(bù慢能)是針對某些具體目标的有組織攻擊。與此同時(shí),據說(shuō)一些和費少勒索病毒有關的比特币錢包已經開(kāi)始充滿現風志金(jīn)。
誰受到了攻擊?
英國國家(jiā)衛生服務局(NHS)受到攻擊,一些手術被迫取消。一行低名NHS工(gōng)作人員告訴BBC,在其中一些案例村章中,病人“幾乎肯定會(huì)死亡”。
有報道說(shuō),俄羅斯的感染案例比其他(tā)任何一個國家(小銀jiā)都多。
一些西班牙公司,包括電信巨頭Telefonica,電力花司公司Iberdrola和公用事業公司Gas Natu美筆ral也遭受了攻擊。有報道說(shuō),這些公司的工(gōng)作人員被西音告知要關掉計算機。
葡萄牙電信公司、聯邦快遞公司、瑞典一個地區的政府,以及俄羅斯第二大(什訊dà)移動運營商Megafon,也表示受到了攻擊。
這個惡意軟件的工(gōng)作原理是怎樣的?
一些安全研究人員指出,這次的感染似乎是通(t姐農ōng)過一個蠕蟲來部署的。蠕蟲是一種程序,可以在計算機之外時間自我傳播。
與許多其他(tā)惡意程序不(bù)同的是,這個程內機序隻靠自己就能夠在一個網絡中移動傳播。其他(tā)大(dà)多數惡意程序是依靠知請人類來傳播的,也就是說(shuō),需要先有人去點擊含有攻上森擊代碼的附件。
一旦WannaCry進入了一個組織機構的内部計算機網絡,它就會(習影huì)找到一些脆弱的計算機并感染它們(men)。這可能解釋了為(wè開木i)什麼它的影響是如(rú)此巨大(dà)——因為(wèi)每個受害的組織我但機構裡都有大(dà)量的機器(qì)被感染。
防範勒索軟件病毒攻擊的方法在這裡:
西部數碼已經在機房前端通(tōng)過防火牆攔截了以上兵高危險端口,但為(wèi)防止遺漏,還是建議您采取必要措施,以保證系統美拍更加安全。以下四種措施均可以有效的關閉以上危險端口,您可以根據實際情況自行舞通選則。
一、事前防範:
1.将服務器(qì)升級到最新版,打上件如最新補丁
a.但此方式僅對windows2008以上的服務器(qì)有效,因windows能光2003微軟已經停止了服務,所以此方法無效。
b.為(wèi)計算機安裝最新的畫吃安全補丁,微軟已發布補丁MS17-010修複了“永恒之藍”攻擊的系統化亮漏洞,請盡快安裝此安全補丁,網址為(wèi)https://technet.microsof師路t.com/zh-cn/library/security/MS17-01得民0。
2.在Windows服務中禁用Server服務、門報禁用TCP/IP 上的NetBIOS
a.對于禁止用Server服務,錯飛可以點擊開(kāi)始-運行,輸入service拍視s.msc,找到server服務後右擊,選擇停止,再選擇屬性,将啟動類的算型改為(wèi)禁用
b. 對于禁止TCP/IP上的知小NetBIOS,可點擊開(kāi)始-設置-網絡和撥号連接-本地連接-費遠TCP/IP屬性-高級-WINS-選‘禁用TCP/IT上的NETBIO哥河S’
c.然後重啟服務間那器(qì)
3.利用防火牆添加規則屏蔽入口,關閉445、135、13懂們7、138、139端口,關閉網絡共享。(可以用後文的黑微命令批量關閉)
● 開(kāi)始菜單 > 打開(kāi)控制面闆 些樂> 選擇Windows防火牆
● 如(rú)果防火牆沒有開(kāi)到很啟,點擊“啟動或關閉 Windows防火牆”啟用。時公
● 點擊“高級設置”,然後左側點擊“入站討大規則”,再點擊右側“新建規則”。
● 在打開(kāi)窗口哦選擇要創建的規則類型為空有(wèi)“端口”,并點擊“下一步”。
● 在“特定本地端口”處填入445并點擊“下一步”,選擇“阻止黑舞連接”,一直點擊“下一步”,并給規則任意命名後點擊照票完成即可。
4.若是我司雲主機,可使用安全組功能
添加一個安全組,安全組中添加4條規則,協議類型為(多拍wèi)TCP,源IP默認為(wèi)0.0知窗.0.0,優先級默認,目标端口分别填寫135、137、139、445,行為(店可wèi)選擇“阻止”,并将此安全組應用到所有win麗校dows服務器(qì)即可。
5、盡快(今後定期)備份自己電腦中的重要文件資(zī)料到什綠移動硬盤、U盤,備份完後脫機保存該磁盤。
a.對相關重要文件采用離線備了林份(即使用U盤等方式)等方式進行備份。
b.部分電腦帶有系統還人就原功能,可以在未遭受攻擊之前設置系統還原點,這樣即使遭受攻擊之後可以還原系統關件,找回被加密的原文件,不(bù)過還原點時(shí城妹)間到遭受攻擊期間的文件和設置将會(huì房麗)丢失。
c. 目前,大(dà)部分安全軟件已經具美水有該勒索軟件的防護能力或者其他(tā)免疫能我白力等,可以安裝這些安全軟件,開(kāi)啟實時(shí)防護,避免遭受攻擊。
d.可以采用一些文件防護工(gōng)愛動具,進行文件的備份、防護,如(rú)電腦管家快票(jiā)的文檔守護者(電腦管家(jiā)工(g店話ōng)具箱内可下載使用)。
6、建議仍在使用windows xp, 對購windows 2003操作系統的用戶盡快升級到 window 7/w視去indows 10,或 windows 2008/2012/2016操作線通系統。
7、安裝正版操作系統、Office軟件等。
二、事後病毒處理
1.首先可以拔掉網線等方式隔離已遭受攻擊行喝電腦,避免感染其他(tā)機器(qì)。
2.病毒清理。相關安全軟件(如(rú)電飛讀腦管家(jiā))的殺毒功能能直接查殺勒索軟件,技音
可以直接進行掃描清理(已隔離的機器(qì)可以通(tōng)過輛術U盤等方式下載離線包安裝)。
3.也可以在備份了相關數據後直接進行系統重裝,并在重裝後參考木水"事前預防"進行預防操作。
提醒廣大(dà)用戶:
目前,西部數碼默認為(wèi)雲主機用戶關閉455端物土口,且默認安裝Windows官方補丁。所吧哥有在IDC托管或自建機房有服務器(qì)的企業,術友如(rú)果采用了Windows操作系統,立即安裝微軟補丁。村筆
安全補丁對個人用戶來說(shuō)相對簡單。隻需自學裝載,就能完成算化止血。但是對大(dà)型企業or組織機構而言,面對成百上千台機器(qì),最家上好(hǎo)還是能使用客戶端進行集中管理。
可靠的數據備份可以将勒索軟件帶來的損失最小化。建議對熱子重要數據定期做離線備份,并同時(shí)做好(hǎo)安全理車防護,避免被感染和損壞。
附:在cmd狀态下批量執行以下命令可關閉危險端口熱又:
net stop SCardSvr
net stop SCPolicySvc
sc config SCardSvr start= disabled
sc config SCPolicySvc start= disabl跳火ed
net start MpsSvc
sc config MpsSvc start= auto
netsh advfirewall set allprofiles s分內tate on
netsh advfirewall firewall add ru光煙le name="deny udp 137" dir=in protoco我開l=udp localport=137 action得用=block
netsh advfirewall firewall add rule n資師ame="deny tcp 137" dir=in protocol=畫章tcp localport=137 action=block
netsh advfirewall firewall add多舞 rule name="deny udp 138"些鐘 dir=in protocol=udp刀子 localport=138 actio又們n=block
netsh advfirewall fir了城ewall add rule name="deny關風 tcp 138" dir=in protocol=tcp local書筆port=138 action=block
netsh advfirewall firewall add rul北小e name="deny udp 139" dir=in p子高rotocol=udp localport=139 action=block城又
netsh advfirewall fi愛為rewall add rule name="deny tcp 139" dir物腦=in protocol=tcp localport=139河業 action=block
netsh advfirewall firew快務all add rule name="deny udp南線 445" dir=in protocol=udp 月雜localport=445 action=block
netsh advfirewall firewall add rule n聽熱ame="deny tcp 445" dir=in protoc紙呢ol=tcp localport=445 acti爸那on=block