新浪科技訊 5月13日晚間消息,自本周五起,一起大規(guī)模勒索軟件攻擊迅速波及了全球近100個(gè)國(guó)家,目前至少7.5萬臺(tái)計(jì)算機(jī)被感染。而在中國(guó),一些高校的校園網(wǎng)用戶、甚至加油站、公安、政府機(jī)構(gòu)等也受到影響。
針對(duì)此次勒索軟件攻擊,阿里安全部安全專家孫旭東向新浪科技表示,此次勒索軟件的主角“WannaCry”,利用美國(guó)國(guó)家安全局黑客武器庫泄露的“永恒之藍(lán)”發(fā)起病毒攻擊。而實(shí)際上,微軟已經(jīng)在今年三月份發(fā)布了相關(guān)漏洞MS17-010的補(bǔ)丁,但由于用戶沒有及時(shí)安裝補(bǔ)丁導(dǎo)致該病毒尋找開放端口致使批量感染,最終大規(guī)模擴(kuò)散。
除了用戶和企業(yè)自身的防范意識(shí)不夠之外,孫旭東還表示,從用戶被攻擊后的窗口既有中文也有英文來看,此次攻擊應(yīng)該蓄謀已久。
而用戶電腦被攻擊之后,勒索軟件將受感染電腦里的文件使用AES-128算法加密,感染后的文件擴(kuò)展名會(huì)變?yōu)椤IWIX,。WNCRY擴(kuò)展名,需要解密秘鑰才可以還原文件。在文件被加密的同時(shí),會(huì)彈出一個(gè)名為Wanna Decryptor 2.0的彈出窗口,要求支付價(jià)值300美元的比特幣作為贖金,否則文件會(huì)被銷毀。
不過他建議中招的用戶也不要急著支付贖金,思考下是否有備用數(shù)據(jù)/快照。即便支付贖金也不一定能解鎖,因?yàn)楣粽咭膊灰欢ㄖ朗悄呐_(tái)電腦支付了贖金。
孫旭東表示,此事件暴露了我國(guó)用戶甚至企業(yè)、政府機(jī)構(gòu)在網(wǎng)絡(luò)安全意識(shí)上的不足,雖然此次病毒目前還沒有辦法完全解決,但也可以通過一些措施預(yù)防:做好補(bǔ)丁的升級(jí);使用第三方的防病毒軟件,及時(shí)進(jìn)行病毒庫的更新;郵件、即時(shí)通信、文件等不確定安全性的前提下不要打開,先進(jìn)行殺毒或在虛擬機(jī)里進(jìn)行測(cè)試,這樣可以避免很大的風(fēng)險(xiǎn)。
以下為阿里安全部方面提供的應(yīng)急解決辦法:
應(yīng)急處置方法
1、防火墻屏蔽445端口
2、利用 Windows Update 進(jìn)行系統(tǒng)更新
3、關(guān)閉 SMBv1 服務(wù)
適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶
對(duì)于客戶端操作系統(tǒng):
打開“控制面板”,單擊“程序”,然后單擊“打開或關(guān)閉 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框,然后單擊“確定”以關(guān)閉此窗口。重啟系統(tǒng)。
對(duì)于服務(wù)器操作系統(tǒng):
打開“服務(wù)器管理器”,單擊“管理”菜單,然后選擇“刪除角色和功能”。在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框,然后單擊“確定”以關(guān)閉此窗口。重啟系統(tǒng)。
適用于運(yùn)行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注冊(cè)表
注冊(cè)表路徑:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建項(xiàng)︰ SMB1,值0(DWORD)
重新啟動(dòng)計(jì)算機(jī)
最后提醒大家,重要的數(shù)據(jù)備份,備份,再備份。重要的事情說三遍!