关于校园网用户应对“永恒之蓝”勒索病毒的紧急通知
发布时间: 2017-05-14 浏览次数: 1530 文章来源: 信息化建设与管理办公室

    我国部分高校内网、大型企业内网和政府机构专网遭受到永恒之蓝勒索病毒的攻击。经分析,判定该勒索病毒是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-010)进行传播,攻击者利用该漏洞,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AESRSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@WanaDecryptor@.exe”;三是生成随机IP并发起新的网络攻击。

    一、勒索病毒的原理及危害

    本次攻击使用的是位于Windows SMB共享服务中的漏洞,用户在联网后即可发生感染且全程无需用户操作,只要感染后病毒将立刻开始对本地文件进行加密,目前勒索软件采用的都是2048甚至4096位高强度加密算法,因此使用暴力破解的方法基本无望的,文件被加密后,查杀病毒也是没用的!

    二、信息办了什么

    (一)病毒爆发前,我校信息办在边界核心上已经做了如下措施。

    1.在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;

    2.在学校数据中心防火墙上禁止135/137/139/445端口的连接;

    (二)病毒爆发后,我校信息办第一时间又对校园网增加了相应的防护措施。

    1.在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接;

    2.建立iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名的内网解析,实现免疫;

    3.检查和加固了我们能管理到的服务器系统。

    关闭端口可能会影响到您共享打印机、网络共享功能的正常使用。此操作只能缓解病毒的扩散趋势, 用户仍需对计算机系统进行补丁修复。

    三、中毒后该怎么办

    如果您的计算机不幸被病毒攻击,请您:

    1.立刻拔掉网线,否则您的计算机会成为新的攻击源,去攻击局域网内其他计算机。

    2.判断计算机上文件重要性:若不是非常重要,可以选择重新安装系统(1、建议安装Win7以上系统,并安装所有安全补丁;2、安装系统时,请对所有分区进行格式化)。若文件非常重要,可在清除病毒后,尝试使用360恢复工具恢复。

   https://dl.360safe.com/recovery/RansomRecovery.exe

    若无效果,请将硬盘拆下,保存、等待……

    3.对你在使用的U盘、移动硬盘进行格式化。

    四、未开机用户的操作,因病毒爆发恰逢周末,很多用户在家休息,办公室计算机并未开机,对这类情况,请您按照以下步骤操作:

    1.到办公室后,下载360一键修复工具:http://down.b.360.cn/EternalBlueFix.zip(目前未中招用户,也请下载和运行一下。)

    2.运行该修复工具

    3.若您无法独立完成上述操作,可带格式化后的空白U盘到学校信息办寻求帮助(85866970)。


   个人自助开机指南(防火墙设置及漏洞补丁网址).doc

仙林校区地址:南京市亚东新城区文苑路9号 邮编:210023 三牌楼校区地址:南京市新模范马路66号 邮编:210003 锁金村校区地址:南京市龙蟠路177号 邮编:210042 苏ICP备11073489号-1