各部门、各校园网用户:
信息化建设管理处从高教信息化分会网络安全工作组、国家互联网应急中心等渠道获知,近期国内外爆发了基于Windows平台的勒索病毒感染事件,主机内重要文件被加密,并显示类似下图所示的勒索界面:
我校校园网长期按照国家互联网应急中心发布的安全信息采取规范的安全策略,禁止了该病毒利用校园网出口从校外进入校内的途径,因此我校目前未出现被该病毒感染的案例。但一旦有病毒通过其他途径进入学校,还是有可能通过校外计算机和外部介质进入校园网造成传播,尽管我校暂未受到波及,但是大家还是应该提高安全意识,注意防范。我处在做好校园网络层面可实施的各项安全防护措施的基础上,建议师生加强安全防护措施,降低被网络勒索病毒感染风险。具体个人主机防护措施建议如下:
1. 及时升级操作系统到最新版本;升级操作系统补丁到最新;通过Windows官方渠道或安装可信安全厂商安全防护软件(例如:360安全卫士等),将Windows主机系统更新升级到最新状态;
2、使用360公司发布的漏洞修复工具检测和修复本机漏洞。(点击下载)
3. 保持良好的网络使用习惯(不随意打开不明来源的Office文档、可执行文件;使用Chrome、Firefox、360安全等安全防护功能较好的浏览器;不打开来源不明的网络连接;不下载和安装来源不明的主机应用和移动应用)。
4. 勤做重要文件非本地备份;对于有大量重要文档信息的主机,请经常进行重要文件备份,并采用移动硬盘、优盘、光盘等等模式将备份介质离线保存(也就是将备份的硬盘断开与主机的USB等连接来存放);涉密计算机和行业要求不得上网的计算机一定要遵守相关规定不得私自接入互联网。
5. 建议停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
6. 禁用计算机的139、445端口。(点击查看关闭方法)
信息化建设管理处作为学校校园网和信息化建设的主要部门,将持续跟进此次病毒爆发情况,尽最大能力为校园网用户提供安全咨询和服务!
服务电话:38185255
附件:高教信息化分会网络安全工作组对网络勒索病毒通告
信息化建设管理处
2017年5月13日
附件:高教信息化分会网络安全工作组对网络勒索病毒通告
经初步调查,此类勒索病毒是利用基于445端口传播的Windows系统SMB漏洞进行感染,而不是此前通常的携带病毒Office文档的电子邮件传播(参见:http://network.neu.edu.cn/archives/2272)。被勒索病毒感染后,主机内大量重要文件(如Word、Excel等)被加密,由于加密强度高解密难度大,只能通过支付高额的比特币赎金才能解密恢复文件,对被感染主机威胁严重。远程利用代码和4月14日黑客组织ShadowBrokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序,可以攻击开放445端口的 Windows主机,实现远程命令执行。微软在今年3月份发布的MS17-010补丁,修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,还发现有植入远程控制木马等其他多种远程利用方式。
根据安全公司统计,目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击,并且攻击规模还有进一步扩大趋势。
此次利用的SMB漏洞影响以下未自动更新的操作系统:
Windows XP/Windows 2000/Windows 2003
Windows Vista/WindowsServer 2008/Windows Server 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/WindowsServer 2012 R2/Windows Server 2016
