共计 1688 个字符,预计需要花费 5 分钟才能阅读完成。
近日有多个高校发布了关于连接校园网的电脑大面积中勒索病毒 (ONION) 的消息, 这种 ONION 病毒致使许多高校毕业生的毕业论文 (设计) 被锁,磁盘文件会被病毒加密为 .onion 后缀 , 支付高额赎金后才能解密。被感染电脑 大量重要文件被加密,加密使用了高强度的加密算法难以破解,被攻击者除了支付高额的比特币赎金外,往往没有其他办法解密文件(也不一定有用!),对学习资料和个人数据造成严重损失。
山东大学官方微博证实感染!
根据国内网络安全组织经过初步调查,此类勒索病毒传播扩散利用了基于 445 端口的 SMB 漏洞。此次远程利用代码和 4 月 14 日黑客组织 Shadow Brokers(影子经纪人)公布的 EquationGroup(方程式组织)使用黑客工具包有关。其中的 ETERNALBLUE 模块是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。微软在今年 3 月份发布的 MS17-010 补丁,修复了 ETERNALBLUE 所利用的 SMB 漏洞。目前基于 ETERNALBLUE 的多种攻击代码已经在互联网上广泛流传,除了捆绑勒索病毒,不法分子利用 NSA 黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
此次次利用的 SMB 漏洞影响以下未自动更新的操作系统:Windows XP/Windows 2000/Windows 2003、Windows Vista/Windows Server 2008/WindowsServer 2008 R2、Windows 7/Windows 8/Windows 10、Windows Server 2012/Windows Server 2012 R2/Windows Server 2016。
由于以前国内多次爆发利用 445 端口传播的蠕虫,运营商对 个人用户已封掉 445 端口,但是教育网并没有此限制,仍然存在大量暴露 445 端口的机器。据有关机构统计,目前国内平均每天有 5000 多台机器遭到 NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。
防范措施:
1、及时为计算机安装最新的安全补丁,使用自动更新升级到 Windows 的最新版本。
微软已发布补丁 MS17-010 修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;
对于 windows XP、2003 等微软已不再提供安全更新的机器,可临时使用 360“NSA 武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。
2、关闭 445、135、137、138、139 端口,关闭网络共享。
启用并打开“Windows 防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
4、勤备份 重要文件到移动硬盘、U 盘,备份完后脱机保存该磁盘。
5、停止使用 Windows XP、Windows 2003 等微软已不再提供安全更新的操作系统。
本站独家最新分析:该病毒通过本地加密后将密码传送到木马的服务器,但是木马服务器已经被封锁,密码无法被知晓。也就是中招之后,你付了比特币也没法恢复数据!中招后数据是没法恢复的,花钱也不行!
病毒全球攻击范围:
计算机网络病毒攻击已经扩散到 79 个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等
国内部分高校反映教育网电脑大面积中了比特币勒索病毒,致使许多实验数据及毕业设计被锁。
网络上的勒索病毒感染桌面:
病毒感染后中文界面,必须用比特币支付获取密码。
目前各大高校信息处均发布了 ONION 病毒防范公告,请大家及时采取防范措施!
复旦大学信息办紧急公告。
大家及时 扩散,及时避免数据损失!