永恒之蓝蠕虫病毒爆发解决方案看这里维修资讯《资讯》

发布时间：2020-11-05 16:30:17 阅读：次来源：铝箔纸厂家

01 永恒之蓝蠕虫肆虐全球

就在昨日，勒索病毒大规模袭击全球，近100个国家被攻击！英国、意大利、俄罗斯等全球74个国家近6万台电脑遭比特币勒索病毒攻击。

据悉策划者是一名俄罗斯黑客，在FBI通缉的十大黑客名单中排名第二，利用美国NSA黑客武器攻击windows漏洞。

今早，国内多所大学反馈遭遇此勒索病毒攻击，至截稿时间，已致使许多实验室数据和毕业设计被锁。包括山东财经大学、南昌大学、广西师范大学、东北财经大学在内十几家高校发布通知等多家高校发布紧急通知，提醒师生注意。

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

02 永恒之蓝来自何处将去何方

经技术调查，该病毒是一个名为“wannacry”的新型勒索软件。目前无法解密受到该类型的勒索软件感然的文件。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010.攻击者扫描全网开放的445端口，再利用自动化攻击脚本生成恶意文件感染主机。当系统遭受攻击后，会弹出索要赎金的对话框：

“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被勒索软件以AES+RSA的加密算法加密。加密文件内容以“WANACRY!”开头，文件后缀名统一改成“.WNCRY”。图片、文档、视频、压缩包等各类资料都无法正常打开。

让我们先回顾一下时间线：

2017年3月14日，微软发布安全公告 MS17-010，Microsoft Windows SMB 服务器安全更新 (4013389)，等级为严重。漏洞说明是：如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息，那么其中最严重的漏洞可能允许远程执行代码。

4月，黑客组织 Shadow Brokers 从美国国家安全局（NSA）盗取了多个 Windows 攻击工具并公布。此次勒索蠕虫攻击代码部分即基于这些攻击库中的EtenalBlue（永恒之蓝）。

如果3月份的安全公告和4月份的攻击工具泄漏还没有被引起重视的话，仅仅1个月后，基于EtenalBlue（永恒之蓝）的勒索蠕虫肆虐，真实的发生在我们身边。

让我们把时间再提前，2003年8月，冲击波病毒（W32.Blaster.Worm）肆虐全球，病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机，找到后利用DCOM/RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对系统升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

当时，为了控制蠕虫病毒的扩散，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此安全策略的部署与端口限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致此次目前勒索蠕虫病毒的泛滥。

03 专业止损建议

建议大家采取以下措施来防止损失进一步扩大：

1. 查看445端口是否开放并决定是否关停server服务：

点击“开始”->“运行”->输入“cmd”->输入“netstat -an ”->回车->查看445端口状态

如果处于“listening”->暂时关停server服务：

点击“开始”->搜索框输入“cmd”->右键菜单选择“以管理员身份运营”->执行“net stop server”命令

2、微软已发布补丁MS17-010，修复了“永恒之蓝”攻击的系统漏洞。

https://technet.microsoft.com/zh-cn/library/security/MS17-010

3. 个人用户应急解决方案

开启系统防火墙->利用系统防火墙高级设置阻止向445端口进行连接->安装相应系统安全更新。

win7/win8/win10：