校园网用户:
北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,重要文件被加密。经过初步调查,此类勒索病毒传播扩散利用了基于445端口的SMB漏洞,此次远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的EquationGroup(方程式组织)使用黑客工具包有关。运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失,类似下图所示(图片来自网络)。
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows Vista /Windows 7/Windows 8/Windows 10
Windows Server 2003/Windows Server 2008/Windows Server 2008 R2
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
检测是否存在漏洞的方法,下载 NSA检测工具 运行检测
【处置建议】
1.根据微软官方发布的声明称,上述表项中涉及的大部分漏洞已在微软目前支持更新的产品中修复,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010,因此建议从微软官方进行系统升级,保持操作系统补丁的更新;安装安全管家或安全卫士等工具的用户可以直接使用系统/漏洞修复功能修复。
2.各部门、学院、科研项目组服务器请下载相应操作系统补丁,使用远程桌面等程序挂载本地磁盘,上传补丁安装修复。网络信息技术中心将使用测试工具验证,对未修复漏洞的服务器予以关闭。
3.未升级操作系统的处理方式(不推荐,临时缓解):由于微软已经停止对Windows XP、Windows Vista、Windows Server 2000和Windows Server 2003等的安全更新(微软临时发布补丁文件,在系统补丁包可下载),建议临时启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭445、135、137、138、139端口。 同时考虑使用替代操作系统,建议停止使用WindowsXP、Windows 2003等微软已不再提供安全更新的操作系统。
【在此提醒广大校园网用户】
1.备份自己电脑中的重要文件资料到移动硬盘/U盘/网盘/其它计算机上,并养成定期备份的习惯。尤其临近毕业季,请毕业生们保存好毕业论文及毕业设计的文档。
2.学校一直严格控制网络端口的开放,涉及的端口对外都是关闭的。同时校园网核心设备的安全策略已封禁了445等不安全端口,禁止了该病毒从校园网外进入校内的途径。但该病毒可以通过邮件或移动介质进行传播,提醒教职工、学生不要打开各类陌生的邮件、特别是不明邮件内的附件或链接;不要点击不明链接;谨慎使用破解软件。 特别提醒:小心网络诈骗或不法分子利用这次机会通过邮件招摇撞骗或埋下新的安全隐患。
【对于个人宽带/家庭用户方面】运营商应该已经主动屏蔽了445端口;即使未屏蔽,一般家庭都在使用无线路由器,默认情况下不对公网开放/转发任何端口,也可以避免被攻击;但为避免被移动介质或其它方式感染,也要及时更新系统补丁,定期做好重要数据备份。
若有发现类似问题的用户,请及时拔掉网线,相关移动介质或U盘一定不要插入电脑,并联系网络技术部8242954,电子邮件noc@sdau.edu.cn
网络信息技术中心
2017.05.13