警惕!影响全球 99 个国家的电脑病毒WannaCry,小心你也中招(附解决方法)

  • 内容
  • 评论
  • 相关
分享到:

WannaCry(直译“想哭”,或称WanaCrypt0r 2.0)是一种电脑勒索病毒。2017年5月,此程序大规模感染包括西班牙电信在内的许多西班牙公司、英国国民保健署、联邦快递和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击。俄罗斯联邦内务部、俄罗斯联邦紧急情况部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。中国教育网相连的中国大陆高校也出现大规模的感染,感染甚至波及到了公安机关使用的内网,国家互联网应急中心亦发布通报。

WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主“永恒之蓝”利用了某些版本的微软服务器消息块(SMB)协议中的MS17-010漏洞。修复该漏洞的安全补丁已于3月14日发布,但并非所有计算机都进行了安装。

署名为MalwareTech的一个英国人,在病毒中发现一个未注册的域名。病毒会尝试访问该域名,若域名不存在则继续感染。而该域名已注册,则会停止传播。这名男子花费8.29英镑注册域名后每秒收到上千次请求。域名注册后,可能还有部分计算机会被继续感染,但“WannaCry的这一版本不会继续传播了”。

背景

此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”(EternalBlue)工具。黑客组织“暗影中间人”(The Shadow Brokers)在2017年4月14日发布了一批从Equation Group(方程式集团)泄露的工具,其中便包括“永恒之蓝”;而方程式集团据信是属于美国国家安全局。

永恒之蓝利用了Windows服务器消息块的漏洞,而对于这个漏洞,微软公司在2017年3月14日已经向用户推送了Windows系统补丁“MS17-010”,以封堵此漏洞。但这个补丁只适用于Windows Vista与较新的操作系统,较旧的Windows XP操作系统并不能用。微软已经在其网站上把这个电脑病毒的严重等级标记为“严峻”。

2017年5月12日,WannaCry在国际互联网广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密,然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机,而处于同一局域网的相邻主机也会被感染。这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。这个补丁是针对Windows网络文件共享系统的漏洞而发布的。与此同时,微软也告知了用户,不要再使用老旧的第一代服务器消息块了,取而代之的应该是最新的第三代服务器消息块。

而没有及时下载这个补丁的Windows主机很可能就会被感染,而到目前为止也没有证据显示,攻击者是有目标地在进行攻击。而还在运行已被微软淘汰的Windows XP的主机则是非常危险的,因为微软现早已不对Windows XP进行安全更新与支持。但由于事件的严重性,微软已经推出了针对部分已被淘汰系统的漏洞修复补丁,包括Windows XP、Windows Server 2003和Windows 8,可从微软的网站上下载。

影响

受到攻击的国家及地区

2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播[32]。随后,山东大学、南昌大学、广西师范大学、桂林电子科技大学、东北财经大学等十几家高校发布通知,提醒师生注意防范[33][34]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。中国国家互联网应急中心发布关于防范Wannacry的情况通报,称境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个。

勒索软件影响了英国医疗系统的运作。[37]由于勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[6][38]英国国民保健署在2016年仍然有上千台电脑在使用Windows XP,而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。

应对方法

1.当然是打补丁啦 !!

针对这次大规模的黑客袭击事件,微软已经发布了相关的补丁 MS17-010 用以修复被 「Eternal Blue」 攻击的系统漏洞,请大家尽快安装此安全补丁,网址:https://technet.microsoft.com/zh-cn/library/security/MS17-010
不过对于 Windows XP、Windows 2003 等更加久远的系统,微软则不再提供安全补丁。
中招的老系统用户可尝试使用 360 「NSA武器库免疫工具」检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。(小明不建议使用哦!!)
微软的发言人表示,在 Windows 电脑上运行系统自带的免费杀毒软件,并启用 Windows Updates 的用户可以免受这次病毒的攻击。

Windows 10 的用户可以通过「设置 - Windows 更新」启用 Windows Updates 安装最新的更新,同时可以通过「设置 - Windows Defender」打开安全中心。

另外,关闭 445、135、137、138、139 端口,关闭网络共享也可以避免中招

2.关闭 445、135、137、138、139 端口

Windows 共享端口关闭设置:

1. 运行 输入「dcomcnfg」
2. 在「计算机」选项右边,右键单击「我的电脑」,选择「属性」。
3. 在出现的「我的电脑属性」对话框「默认属性」选项卡中,去掉「在此计算机上启用分布式 COM」前的勾。
4. 选择「默认协议」选项卡,选中「面向连接的TCP/IP」,单击「删除」按钮。
关闭 135、137、138 端口:
在网络邻居上点右键选属性,在新建好的连接上点右键选属性再选择网络选项卡,去掉 Microsoft 网络的文件和打印机共享,和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138 端口。
关闭 139 端口:
139 端口是 NetBIOS Session 端口,用来文件和打印共享。关闭 139 的方法是在「网络和拨号连接」中「本地连接」中选取「Internet协议 (TCP/IP)」属性,进入「高级 TCP/IP 设置」「WINS设置」里面有一项「禁用 TCP/IP的 NETBIOS 」,打勾就可关闭 139 端口。
关闭 445 端口: 
开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters,新建名为「SMBDeviceEnabled」的DWORD值,并将其设置为 0,则可关闭 445 端口。

评论

0条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注