关于防范勒索蠕虫病毒攻击的紧急安全预警通告

时间:2017-05-13浏览:541设置

各校园网用户:

2017512日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。

此蠕虫目前在没有对445端口进行严格访问控制的教育网及企业内网大量传播,呈现爆发的态势,受感染系统会被勒索高额金钱,不能按时支付赎金的系统会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害,各类规模的企业内网也已经面临此类威胁。

请各校园网用户及时对个人电脑进行检测并采取防护措施,以免给您造成不必要的损失。

一、应急处置方法

(一)检查系统是否开启Server服务:

1、打开【开始】按钮,点击【运行】,输入cmd,点击确定;

2、输入命令:netstat -an 回车;

3、查看结果中是否还有135137138139445端口。

如果发现上述端口开放,需要关闭或禁用Server服务,以Win7系统为例,操作步骤如下:

1、打开【开始】按钮,点击【运行】,输入cmd,点击确定;

2、输入命令:services.msc 回车;

3、在【服务】找到【server】服务,双击,点击“停止”按钮,并将启动类型改为“禁用”。


(二)通过防火墙关闭445端口:

  1、打开控制面板中的Windows防火墙,并保证防火墙处于启用状态;

  2、打开防火墙的高级设置;

  3、在“入站规则”中新建一条规则,本地端口号添加135137138139445,操作选择阻止连接;



   注:上述应急处置方式,将导致打印机共享、文件夹共享等失效!!!


(三)启用360蠕虫快速免疫工具防护
    免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe。请下载OnionWormImmune.rar 工具并运行,并检查任务管理器中的状态。



(四)xp系统的处理流程

    1、依次打开控制面板——安全中心——Windows防火墙——选择“启用”。

  2、点击开始,运行,输入cmd,确定执行下面三条命令。

     net stop rdr
     net stop srv
     net stop netbt

  3、建议XP系统用户请尽快升级至win7或者win10。


二、根治方法

    

    微软已经发布winxp_sp3 至win10、win2003 至win2016 的全系列补丁。


校园下载地址链接:    

Windows2003    ftp://210.30.65.202/system/Windows2003.rar

Windows2008    ftp://210.30.65.202/system/Windows2008.rar

Windows2008R2   ftp://210.30.65.202/system/Windows2008R2.rar

Windows2012R1   ftp://210.30.65.202/system/Windows2012R1.rar

Windows2012R2   ftp://210.30.65.202/system/Windows2012R2.rar

Windows7    ftp://210.30.65.202/system/Windows7.rar

Windows8    ftp://210.30.65.202/system/Windows8.rar

Windows10用户直接通过系统更新,升级修复即可。


360下载地址:

 win2003:http://0kee.360.cn/ms/2003/kb4012598-x64-custom-chs.exe

           http://0kee.360.cn/ms/2003/kb4012598-x64-custom-enu.exe

           http://0kee.360.cn/ms/2003/kb4012598-x86.exe


 win2008:http://0kee.360.cn/ms/2008/kb4012598-x64.msu

           http://0kee.360.cn/ms/2008/kb4012598-x86.msu


  2008R2:http://0kee.360.cn/ms/2008R2/kb4012212-x64.msu

           http://0kee.360.cn/ms/2008R2/kb4012212-x86.msu

           http://0kee.360.cn/ms/2008R2/kb4012215-x64.msu

           http://0kee.360.cn/ms/2008R2/kb4012215-x86.msu


  2012R2:http://0kee.360.cn/ms/2012R2/kb4012213-x64.msu

           http://0kee.360.cn/ms/2012R2/kb4012213-x86.msu

           http://0kee.360.cn/ms/2012R2/kb4012216-x64.msu

           http://0kee.360.cn/ms/2012R2/kb4012216-x86.msu


  win8.1:http://0kee.360.cn/ms/8.1/kb4012213-x64.msu

           http://0kee.360.cn/ms/8.1/kb4012213-x86.msu

           http://0kee.360.cn/ms/8.1/kb4012216-x64.msu

           http://0kee.360.cn/ms/8.1/kb4012216-x86.msu


   vista:http://0kee.360.cn/ms/vista/kb4012598-x64.msu

           http://0kee.360.cn/ms/vista/kb4012598-x86.msu


    win7:http://0kee.360.cn/ms/win7/kb4012212-x64.msu

           http://0kee.360.cn/ms/win7/kb4012212-x86.msu

           http://0kee.360.cn/ms/win7/kb4012215-x64.msu

           http://0kee.360.cn/ms/win7/kb4012215-x86.msu


       xp:http://0kee.360.cn/ms/xp/sp2-kb4012598-custom-enu-x86.exe

           http://0kee.360.cn/ms/xp/sp3-embedded-kb4012598-custom-enu-x86.exe

           http://0kee.360.cn/ms/xp/sp3-kb4012598-custom-enu-x86.exe


win7 sp0-sp1升级包:

           http://0kee.360.cn/ms/win7/sp0-sp1-X64.exe

           http://0kee.360.cn/ms/win7/sp0-sp1-X86.exe


    百度网盘地址:http://pan.baidu.com/s/1i59kJYH。


三、感染处理

对于已经感染勒索蠕虫的机器吗,请立即断开网络,隔离处置。


校园网内已经感染的计算机会携带病毒活体文件在内网进一步传播,因此请谨慎使用USB设备或文件拷贝,及时更新病毒防护软件。针对重要业务系统立即进行数据备份,针对重要业务终端进行系统镜像。



信息化工作办公室

2017515日(更新)