各处、室、系、部、中心:
新型“蠕虫”式勒索病毒爆发,我国部分高校内网、大型企业内网和政府机构专网遭受攻击。希望大家根据黑龙江省教育厅(黑教信函〔2017〕226 号)《省教育厅关于WannaCry 勒索蠕虫病毒情况通报及处置工作紧急通知》,及时排查治理网络安全隐患。若发现感染病毒,于2017年5月17日12:00之前上报至信息中心(电话:87900729)。现将黑教信函〔2017〕226 号通知转发如下:
各普通高校、厅直属单位:
2017 年 5 月 12 日 20 时左右,新型“蠕虫”式勒索病毒爆发。截至目前,我国部分高校内网、大型企业内网和政府机构专网遭受攻击,该勒索软件是一个名为“ wannacry”的新家族,基于 445端口的 SMB 漏洞( MS17-101)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过 445 端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用 AES 和 RSA 加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“ @WanaDecryptor@.exe”;三是生成随机 IP 并发起新的网络攻击。由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。
有关部门监测发现, WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的 KillSwitch,不能通过注册某个域名来关闭变种勒索蠕虫的传播,该
变种的传播速度可能会更快。
各单位要高度重视此项工作,成立专项领导小组并立即进行关注和处置。
一、各单位立即组织内网检测,查找所有开放 445 SMB 服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、 目前微软已发布补丁 MS17-010 修复了“永恒之蓝”攻击 的 系 统 漏 洞 , 请 尽 快为 电 脑 安 装 此 补 丁 , 网 址 为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于 XP、 2003 等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用 360“ NSA 武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件 等 病 毒 的 侵 害 。 免 疫 工 具 下 载 地 址 :http://dl.360safe.com/nsa/nsatool.exe。
三、 启用并打开“ Windows 防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭 UDP135、445、 137、 138、 139 端口,关闭网络文件共享。
四、严格禁止使用 U 盘、移动硬盘等可执行摆渡攻击的设备。
五、尽快备份自己电脑中的重要文件资料到存储设备上。
六、及时更新操作系统和应用程序到最新的版本。
七、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。
八、安装正版操作系统、 Office 软件等。
