关于校园网用户注意防范电脑感染勒索病毒的提示
校园网用户:
从5月12日晚上起,全球各地电脑系统反映有大量电脑感染勒索病毒,重要文件被加密,类似下图所示。
经相关安全机构初步调查,此类勒索病毒利用了基于445端口传播扩散的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
根据360公司的统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还有进一步扩大趋势。
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
预防措施:
学校现代教育技术中心已采取的措施:
1、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;
2、在校园网络核心主干交换路由、3层网关设备禁止135/137/139/445端口的连接。
学校方面采取的措施能防止各网络区域子网之间不容易受到感染,但对同一网络子网的用户之间是没有办法防护的,因此个人用户电脑还需积极做好以下防护措施,确保自己的系统安全。
个人用户电脑防护措施:
1、及时升级更新电脑操作系统的漏洞补丁:
可通过windows自带的自动更新功能,或使用如360安全卫士的系统修复补丁更新,也可访问微软站点根据对应的系统下载
https://technet.microsoft.com/zh-cn/library/security/MS17-010
2、如果个人电脑不存在共享文件和打印机给他人使用的话,关闭系统的server服务(如下图)。
从“我的电脑----管理----服务和应用程序—服务”,双击“server”服务,把启动类型改为“已禁用”。
3、及时做好个人电脑系统重要数据的非本机备份,以防不测。