什么是永恒之藍病毒 如何防范永恒之藍勒索病毒

　　什么是永恒之藍病毒？如何防范永恒之藍勒索病毒？2017年5月12日晚上20時左右，全球爆發(fā)大規(guī)模蠕蟲勒索病毒入侵事件，短短數(shù)小時之內(nèi)，該病毒已攻擊英國、美國、俄羅斯、中國、德國、意大利等多個國家，并且攻擊還在蔓延。據(jù)了解，只要電腦是開機并且可以上網(wǎng)的狀態(tài)下就有可能能被入侵，被入侵的用戶需支付高額的贖金（或比特幣）才能解密文件，目前攻擊已造成多處教學(xué)系統(tǒng)、醫(yī)院系統(tǒng)癱瘓。

　　什么是永恒之藍病毒？

　　據(jù)了解，這次事件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。

　　這次的“永恒之藍”勒索蠕蟲，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統(tǒng)服務(wù)（SMB、RDP、IIS）的遠程命令執(zhí)行工具，其中就包括“永恒之藍”攻擊程序。

　　惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

　　目前，“永恒之藍”傳播的勒索病毒以O(shè)NION和WNCRY兩個家族為主，受害機器的磁盤文件會被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復(fù)。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。

　　安全專家還發(fā)現(xiàn)，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”，專門選擇高性能服務(wù)器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經(jīng)濟價值。

　　沒有關(guān)閉的445端口“引狼入室”據(jù)360企業(yè)安全方面5月13日早晨提供的一份公告顯示，由于以前國內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲，部分運營商在主干網(wǎng)絡(luò)上封禁了445端口，但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒有此限制而且并未及時安裝補丁，仍然存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致目前蠕蟲的泛濫。

　　因此，該安全事件被多家安全機構(gòu)風(fēng)險定級為“危急”。

　　如何防范永恒之藍勒索病毒？

　　小編了解到，國內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國的校園網(wǎng)迅速擴散，夜間高峰期每小時攻擊約4000次。

　　目前大型企業(yè)、高校、政府網(wǎng)絡(luò)安全管理方面可以趕快測定是否受到了影響：

　　掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放445 SMB服務(wù)端口的終端和服務(wù)器，對于Win7及以上版本的系統(tǒng)確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務(wù)就受影響。

　　個人可自行判定電腦是否打開了445端口。

　　不過目前90%未關(guān)閉的445端口集中在中國臺灣和香港地區(qū)，大陸地區(qū)雖然占比很少，但基數(shù)很大。雖然，在2008年遭受類似的蠕蟲攻擊后，運營商已經(jīng)封閉了大多數(shù)445端口，但是很多類似于教育網(wǎng)、大型企業(yè)內(nèi)網(wǎng)等相對獨立的網(wǎng)絡(luò)沒有自動關(guān)閉445端口，所以影響范圍很大。

　　該攻擊已經(jīng)肆虐到了全世界上百個國家和地區(qū)，這種大規(guī)模的勒索攻擊十分罕見，多家安全公司都進行了緊急處理，在今晨5、6點左右開始對外發(fā)布緊急通知。

　　最恐怖的一點在于，對裝載Win7及以上版本的操作系統(tǒng)的電腦而言，目前微軟已發(fā)布補丁MS17-010修復(fù)了“永恒之藍”攻擊的系統(tǒng)漏洞，可以立即電腦安裝此補丁。汪列軍說，對個人電腦，可能可以自行學(xué)習(xí)及裝載，但是對于大型組織機構(gòu)而言，面對成百上千臺機器，必須使用集中管理的客戶端，尤其如果之前沒有做好安全防護措施的大型組織管理機構(gòu)，處理起來十分棘手。

　　之前提到，有兩個勒索家族出現(xiàn)，汪列軍認為，不排除該勒索蠕蟲出現(xiàn)了多個變種。

　　不法分子是將此前公布的“永恒之藍”攻擊程序改裝后進行的攻擊。汪列軍解析，可以理解為該NSA攻擊工具內(nèi)核沒變，但是不法分子改變了其“載核”，加上了勒索攻擊的一系列調(diào)動工具，由于該NSA攻擊工具可以被公開下載，不排除可有多個不法分子改裝該工具發(fā)動勒索襲擊。

　　應(yīng)急處理辦法以下為360企業(yè)安全提供給的一份處理辦法建議：

　　網(wǎng)絡(luò)層面目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫，強烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問，如果邊界上有IPS和360新一代智慧防火墻之類的設(shè)備，請升級設(shè)備的檢測規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS07-010補丁或關(guān)閉了Server服務(wù)。

　　終端層面暫時關(guān)閉Server服務(wù)。

　　檢查系統(tǒng)是否開啟Server服務(wù)：

　　1、打開開始按鈕，點擊運行，輸入cmd，點擊確定；

　　2、輸入命令：netstat -an回車；

　　3、查看結(jié)果中是否還有445端口。

　　如果發(fā)現(xiàn)445端口開放，需要關(guān)閉Server服務(wù)，以Win7系統(tǒng)為例，操作步驟如下：

　　1、點擊開始按鈕，在搜索框中輸入cmd，右鍵點擊菜單上面出現(xiàn)的cmd圖標，選擇以管理員身份運行，在出來的 cmd 窗口中執(zhí)行“net stop server”命令，會話如下圖。

　　2、感染處理對于已經(jīng)感染勒索蠕蟲的機器建議隔離處置。

　　根治方法對于Win7及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補丁MS17-010修復(fù)了“永恒之藍”攻擊的系統(tǒng)漏洞，請立即電腦安裝此補丁。出于基于權(quán)限最小化的安全實踐，建議用戶關(guān)閉并非必需使用的Server服務(wù)，操作方法見應(yīng)急處置方法。

　　對于Windows XP、2003等微軟已不再提供安全更新的機器，推薦使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，以避免遭到勒索蠕蟲病毒的侵害。這些老操作系統(tǒng)的機器建議加入淘汰替換隊列，盡快進行升級。

　　恢復(fù)階段建議針對重要業(yè)務(wù)系統(tǒng)立即進行數(shù)據(jù)備份，針對重要業(yè)務(wù)終端進行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤或者設(shè)備進行替換。