新浪科技讯 5月13日晚间消息,自本周五起,一起大规模勒索软件攻击迅速波及了全球近100个国家,目前至少7.5万台计算机被感染。而在中国,一些高校的校园网用户、甚至加油站、公安、政府机构等也受到影响。
针对此次勒索软件攻击,阿里安全部安全专家孙旭东向新浪科技表示,此次勒索软件的主角“WannaCry”,利用美国国家安全局黑客武器库泄露的“永恒之蓝”发起病毒攻击。而实际上,微软已经在今年三月份发布了相关漏洞MS17-010的补丁,但由于用户没有及时安装补丁导致该病毒寻找开放端口致使批量感染,最终大规模扩散。
除了用户和企业自身的防范意识不够之外,孙旭东还表示,从用户被攻击后的窗口既有中文也有英文来看,此次攻击应该蓄谋已久。
而用户电脑被攻击之后,勒索软件将受感染电脑里的文件使用AES-128算法加密,感染后的文件扩展名会变为。UIWIX,。WNCRY扩展名,需要解密秘钥才可以还原文件。在文件被加密的同时,会弹出一个名为Wanna Decryptor 2.0的弹出窗口,要求支付价值300美元的比特币作为赎金,否则文件会被销毁。
不过他建议中招的用户也不要急着支付赎金,思考下是否有备用数据/快照。即便支付赎金也不一定能解锁,因为攻击者也不一定知道是哪台电脑支付了赎金。
孙旭东表示,此事件暴露了我国用户甚至企业、政府机构在网络安全意识上的不足,虽然此次病毒目前还没有办法完全解决,但也可以通过一些措施预防:做好补丁的升级;使用第三方的防病毒软件,及时进行病毒库的更新;邮件、即时通信、文件等不确定安全性的前提下不要打开,先进行杀毒或在虚拟机里进行测试,这样可以避免很大的风险。
以下为阿里安全部方面提供的应急解决办法:
应急处置方法
1、防火墙屏蔽445端口
2、利用 Windows Update 进行系统更新
3、关闭 SMBv1 服务
适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户
对于客户端操作系统:
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。
对于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。
适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表
注册表路径:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建项︰ SMB1,值0(DWORD)
重新启动计算机
最后提醒大家,重要的数据备份,备份,再备份。重要的事情说三遍!
本文转自d1net(转载)
