紧急预警 | “永恒之蓝”勒索病毒爆发,安恒APT产品可检测

近日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人文件造成严重损失。

被感染了勒索软件的电脑

“永恒之蓝”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。

之前国内曾多次爆发利用445端口传播的蠕虫,运营商对个人用户封掉此端口;但国内特定行业的网络无此限制,存在大量暴露445端口的机器,因此也成为了此次感染事件的重灾区,已经有大量该行业网络的用户报告个人PC被安装了勒索软件。此外,根据国外媒体的报道,目前英国、美国、俄罗斯、西班牙、意大利、越南、中国台湾等国家和地区也出现了被感染的情况。

安恒信息提醒广大Windows系统用户:

  • 目前微软已发布补丁MS17-010修复了“永恒之蓝”工具所利用的系统漏洞,请尽快为电脑安装此补丁。补丁下载链接:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

请注意微软只会为仍在服务期内的版本发布补丁,对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本),微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本,建议用户部署基本的防火墙,禁止电脑直接使用公网IP。

  • 在Windows系统上关闭不必要开放的端口,如445、135、137、138、139等,并关闭网络共享。
  • 定期备份重要文件数据。

自从北京时间 2017 年 4 月 14 日黑客团体Shadow Brokers(影子经纪人)泄露了大量 NSA黑客工具后,安恒信息一直持续关注。

明御APT攻击(网络战)预警平台早在4月份就已经支持通过解析SMB协议分析出恶意的攻击数据包,并检测到MS17-010远程溢出漏洞的利用攻击。

目前安恒信息的明御APT攻击(网络战)预警平台已经支持对“永恒之蓝”勒索病毒的检测。建议APT产品用户升级到V2.0.29或之后版本,同时开启云端,在线实时更新安全策略。

请APT产品用户关注MS17-010的 “SMB远程溢出攻击” 和 “SMB远程溢出攻击成功”的 两个告警,尤其是“SMB远程溢出攻击成功”的告警。如果出现了此告警,表示用户系统已经被入侵,很可能被黑客远程控制。

目前尚无完善的措施解决勒索软件,如果用户确认已经被感染了勒索软件,建议全盘格式化硬盘后重装系统,重装系统时隔离外网避免再次感染,同时安装所有可用的补丁。 早在4月份影子经纪人曝光NSA黑客武器库事件之初,安恒信息就已经就其中相关的SMB协议漏洞利用情况做过全国范围的统计,并向国家相关职能部门提供了统计报告:

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-05-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯研究院的专栏

新形势下,互联网金融发展与监管问题研究

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?...

22550
来自专栏FreeBuf

国内影响已扩散,利用“NSA武器库”中漏洞的Wannacry蠕虫勒索软件袭击全球(含修复方案)

5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件是一种蠕...

272100
来自专栏Youngxj

一个简单的ip黑名单实例

54840
来自专栏安恒信息

2013.9.22--9.28 病毒预报

国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种恶意木马程序变种Trojan_ Wapomi.A。该变种会使得受感染操作系统中的隐私信息数据、网银...

33640
来自专栏黑白安全

黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和...

13610
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-14银行对账-帐户对帐单的重新处理

4.14 FEBA_BANK_STATEMENT帐户对帐单的重新处理 每次过帐手动帐户对帐单时,都应当重新处理银行对帐单,由于原因代码未被输入,系统无法自动成...

401110
来自专栏Seebug漏洞平台

D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告

PDF 版报告下载:D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告

43890
来自专栏域名资讯

森马集团童装品牌启用四拼域名balabala.com

巴拉巴拉(Balabala)是中国森马集团2002年在香港创建的童装品牌,目前产品已全面覆盖0-16岁儿童的服装、童鞋、配饰品类。

17900
来自专栏编程思想之路

Android6.0源码分析之录音功能(一)

Android源码录音功能说起来似乎也很简单,只不过就是一个录音的功能然后进行了一个保存的操作。为什么要研究这个呢?毕竟现 在语音通话、直播亦或者是语音助手比...

48880
来自专栏大数据文摘

国内影响已扩散,Wannacry蠕虫勒索软件及修复方案

19820

扫码关注云+社区

领取腾讯云代金券