提示:比特币勒索蠕虫病毒爆发及修复建议

作者:腾讯云安全团队

被刷屏的图与比特币勒索蠕虫病毒

事件背景

5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击。


什么是比特币勒索蠕虫病毒?

这次攻击的始作俑者是一款名为“WannaCry”(中文名:想哭)的勒索病毒,带有加密功能,它利用 Windows 在 445 端口的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开,用户电脑存在文档被加密的情况,攻击者称需支付比特币解锁,如下图(图片来自互联网):

国内高校网络系统沦为感染重灾区

事件影响

这次 WannaCry 的攻击,被感染的机器有六个小时的时间缴付大约 300 美元的赎金,随后每隔几小时赎金上涨一次。英国 NHS(National Health Service)系统中超过 1/3 的机构目前已受到攻击,这些机构已经取消了所有的门诊预约并劝告可能的情况下尽量避免急诊。

受到攻击的还包括西班牙的电讯公司 Telefónica、俄国内政部、 FedEx 等等。

国内高校网络系统沦为感染重灾区。据有关机构统计,目前国内每天有数万台机器遭到该蠕虫病毒袭击,被黑的大四学生毕业论文被加密导致无法打开且被勒索赎金。如下为全球受影响地区分布图(图片来自互联网):

腾讯云安全团队紧急为云上用户排查


目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列):
Windows NT

Windows 2000

Windows XP

Windows 2003

Windows Vista

Windows 7

Windows 8

Windows 2008

Windows 2008 R2

Windows Server 2012 SP0


为保证您在腾讯云上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:
【风险等级】
高风险
【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。
【影响服务】
主要影响SMB和RDP服务
【漏洞验证】
确定服务器是否对外开启了137、139、445端口
测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问端口扫描 - 站长工具(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。
【漏洞修复建议】
1、推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称-解决措施

“EternalBlue”Addressed by MS17-010

EmeraldThread”Addressed by MS10-061

“EternalChampion”Addressed by CVE-2017-0146 & CVE-2017-0147“ErraticGopher”Addressed prior to the release of Windows Vista“EsikmoRoll”Addressed by MS14-068

“EternalRomance”Addressed by MS17-010

EducatedScholar”Addressed by MS09-050

“EternalSynergy”Addressed by MS17-010

“EclipsedWing”Addressed by MS08-067

腾讯云安全团队 5 月 13 日凌晨为云上用户紧急排查,连夜进行了分析,针对受害用户的主机的病毒和木马样本进行了提取、特征比对和入侵原因分析,发现大量受害主机可能是由于没有及时安装 Windows 更新补丁导致被攻击者入侵,从而使系统迅速感染病毒、 数据被加密,对此,腾讯云安全团队提供了如下应对方案:

一、腾讯云用户修复建议:

当前已受影响的用户,建议对未被加密的重要数据进行备份,并开展重装工作;

二、对于采用非腾讯云官方 Windows 镜像的用户,建议采取如下措施进行缓解:

1> 在安全组策略中,检查您名下所有 Windows 云主机是否已关闭 137、 139、 445 服务端口的对外访问,建议禁止外部访问此类高危端口,详细修复可参考如下链接:

【安全预警】关于方程式组织黑客工具包再曝光通知-腾讯云官方论坛

2> 目前微软官网发布的补丁已经修复了可导致该蠕虫病毒被传染的漏洞,建议用户及时安装 Windows 最新版本补丁(包含此次受影响的 MS07-010 补丁),避免成为勒索蠕虫的受害者;

3> 目前腾讯云官网提供的 Windows 镜像已经在4月20日全网更新完成,默认已安装最新补丁,并不受此次“比特币勒索蠕虫病毒”影响,请您放心使用。

三、普通电脑用户修复建议:

1> 开启系统防火墙,利用系统防火墙的“高级设置”阻止外部对 445 端口进的访问(存在一定影响,该操作会影响使用 445 端口的服务);

2> 打开系统自动更新,检测更新并进行安装;

3> 安装腾讯电脑管家,目前腾讯电脑管家已具备实时防御与主动拦截的能力。

四、温馨提醒

此次比特币勒索蠕虫病毒在互联网上的传播范围极广,影响范围巨大,建议针对您的重要业务系统立即进行数据备份,针对重要 Windows 系统安装补丁并制作系统镜像,以做好灾难应急恢复工作。

腾讯云安全团队
2017 年 5 月 13 日

相关阅读:

【黑客解析】黑客是如何实现数据库勒索的? - 腾云阁 - 腾讯云
【有奖讨论】程序员,怎么应对你的三十岁? - 腾云阁 - 腾讯云
使用腾讯云GPU学习深度学习--1.传统机器学习的回顾 - 腾云阁 - 腾讯云
编辑于 2017-05-15

文章被以下专栏收录