■来源|国家互联网应急中心
上海时间5月12日,网络上发生一起针对Windows操作系统的Wannacry犯罪攻击案件。 Threatware利用此前披露的WindowsSMB服务漏洞(对应谷歌漏洞公告:MS17-010)向终端用户进行渗透和传播,并用比特币或其他贵重物品威胁用户。 包括学校、能源等重要信息系统在内的不少国外用户遭到攻击,对我国互联网构成了较为严重的安全威胁。
1
恐吓软件情况
综合CNCERT和国外网络安全公司(奇虎360、安天等)获得的样本和分析结果,该威胁软件基于445端口和SMB服务漏洞(MS17-010)进行传播。 可以判断,是“ShadowBrokers”泄露漏洞攻击工具引发的后续黑客威胁。 4月16日,CNCERT主办的CNVD发布《关于加强Windows操作系统及相关软件漏洞攻击风险防范的公告》,披露了影子经纪商“ShadowBrokers”披露的多种涉及Windows操作系统SMB服务的漏洞。 通报攻击工具的状态(相关工具列表如下),并对可能发生的大规模攻击进行预警:
当用户的主机系统被威胁软件入侵时,会弹出如下勒索对话框,提示威胁的目的,并向用户索要比特币。 对于用户主机上几乎所有类型的重要文件,如照片、图片、文档、压缩文件、音频、视频、可执行程序等,加密后的文件扩展名统一改为“.WNCRY”。 目前安全行业还无法有效放弃威胁软件的恶意加密行为。 一旦用户主机被威胁软件渗透,只能通过重新安装操作系统来消除威胁,但用户的重要数据文件无法直接恢复。
2
紧急措施
CNCERT(国家互联网应急响应中心)已经开始检测威胁软件及相关网络攻击。 5月13日9时30分至12时00分,境内外约101.1万个IP地址遭到“永恒之蓝”中小企业的攻击,其中IP地址超过9300个(包括攻击成功的主机地址和被攻击的主机地址)可能已经感染了蠕虫病毒),通过漏洞攻击工具发起了成功的攻击尝试。 建议用户及时更新Windows发布的安全补丁,同时在网络边界、内网区域、主机资产、数据备份等方面做好以下工作:
紧急措施
(1)关闭445等端口(其他关联端口如:135、137、139)的外网访问权限,并关闭服务器上任何必要的上述服务端口;
(2)加强对445等端口(其他关联端口如:135、137、139)等内网区域访问的审核,及时发现未经授权的行为或潜在的犯罪行为;
(3)及时更新操作系统补丁。
(4)及时安装和更新防病毒软件。
(5)不要轻易打开来历不明的电子邮件。
(6)定期在不同存储介质上备份信息系统业务和个人数据。
未来,CNCERT将密切检测和关注威胁软件的攻击行为,同时与安全行业合作,追踪和防范可能出现的新的攻击传播方式和恶意样本。
【联想温馨提示】
什么笔记本电脑更容易感染洋葱威胁病毒?
• 操作系统、办公软件等未使用正版软件,且未及时更新Bug和补丁电脑 维护的软件,或因其他原因关闭Windows手动更新;
• 不关闭不常用端口;
• 个人网络安全意识淡薄,没有定期备份文件的习惯。
使用Windows笔记本应该养成哪些好习惯?
•使用Windows内置功能更新补丁,不要使用第三方管家和工具更新补丁。
•养成定期备份的好习惯,重要数据云盘+本地多设备、多点备份。
•加强网络意识,不点击未知链接,不下载未知文件。
•安装防病毒软件和防火墙。 这里推荐联想笔记本管家杀毒版,并将病毒库升级到最新2017-05-13
致联想用户
联想笔记本管家也关心所有男性伴侣。 病毒出现后,联想笔记本管家安全工程师立即响应,密集制定查杀方案。 您可以前往官方网站下载最新版本的联想笔记本管家,全面保护您的计算机。 笔记本。
联想笔记本管家官方下载地址:
温馨提示:下载安装管家后,必须在病毒查杀选项卡中点击“检查更新”,将病毒库升级至最新2017-05-13;
建议男性伴侣尽快将Windows操作系统升级到Windows 10。 自谷歌3月份更新安全补丁以来,Windows 10通常都可以接受该补丁。 很多老系统可能已经结束了更新支持,或者没有更新最新的补丁,或者系统补丁被一些第三方管家接管,谷歌的补丁没有应用。
•预装正版Windows系统的联想笔记本可送往就近的联想官方售后服务处电脑 维护的软件,帮助您充装预装正版操作系统。
•联想用户可联系联想在线服务渠道