爱红伞博客主旨刊载和报道AVIRA小红伞最新资讯和AVIRA小红伞相关技术信息类文章。爱红伞博客为促进小红伞中国使用者提供更多可阅读资讯,在这您可获取德国小红伞最新资讯。转载请注明出处。欢迎访问爱红伞:http://www.iavira.com

© 爱红伞博客
Powered by LOFTER

比特币病毒NSA“永恒之蓝”黑客武器安全防护及修复解决方法

据BBC 等媒体报道,全球多国爆发电脑勒索病毒,受害者电脑会被黑客锁定,提示支付价值相当于 300 美元(约合人民币 2069 元)的比特币才可解锁。目前已经波及 99 个国家。

5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。





最可怕的是,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。

目前病毒攻击有漫延扩大的趋势,已有部分用户受到攻击,在此提醒广大师生及时更新操作系统补丁。微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请广大师生尽快为电脑安装此补丁,关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。

据微软官方回应,NSA武器库攻击的Windows系统漏洞已在近期补丁中完成修复。但是对于Windows XP、2003等失去微软支持的系统版本来说,目前仍处于“裸奔”状态。此外,由于漏洞影响全系列Windows版本,没有及时安装补丁的Win7、Win8甚至Win10用户也处于危险之中。

全英国上下16家医院遭到大范围网络攻击。医院的内网被攻陷,电脑被锁定,电话也不通。黑客索要每家医院300比特币(接近400万人民币)的赎金,否则将删除所有资料。现在这 16家机构对外联系基本中断,内部恢复使用纸笔进行紧急预案。英国国家网络安全部门正在调查,现在攻击仍在进行中。

 NSA武器库是什么:

NSA武器库的公开被称为是网络世界“核弹危机”,其中有十款影响Windows个人用户的黑客工具,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。这些工具能够远程攻破全球约70%的Windows系统,无需用户任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网,木马黑产很可能改造NSA的武器攻击普通网民。

 NSA武器库中影响Windows个人用户的十大黑客武器:

1、EternalBlue(永恒之蓝):SMBv1漏洞攻击工具,影响全平台,已被微软补丁MS17-010修复。

2、EternalChampion(永恒王者):SMBv1漏洞攻击工具,影响全平台,已被微软补丁MS17-010修复。

3、EternalRomance(永恒浪漫):SMBv1漏洞攻击工具,影响全平台,已被微软补丁MS17-010修复。

4、EternalSynergy(永恒协作):SMBv3漏洞攻击工具,影响全平台,已被微软补丁MS17-010修复。

5、EmeraldThread(翡翠纤维):SMBv1漏洞攻击工具,影响XP和2003,已被微软补丁MS10-061修复;

6、ErraticGopher(古怪地鼠):SMB漏洞攻击工具,影响XP和2003,无补丁。

7、EskimoRoll(爱斯基摩卷):Kerberos漏洞攻击工具,影响2000/2003/2008/2008 R2的域控服务器,已被微软补丁MS14-068修复;

8、EducatedScholar(文雅学者):SMB漏洞攻击工具,影响VISTA和2008,已被微软补丁MS09-050修复;

9、EclipsedWing(日食之翼):Server netAPI漏洞攻击工具,影响2008及之前的所有系统版本,已被微软补丁MS08-067修复;

10、EsteemAudit(尊重审查):RDP漏洞远程攻击工具,影响XP和2003,无补丁。

 

 安全防护方法:

1.立即关闭Windows系统的445端口,关闭方法如下:打开控制面板—网络和共享中心—更改适配器设置—右键点击正在使用的网卡然后点击属性—取消勾选Microsoft网络文件和打印机共享—确定—重启系统。

2.更新补丁:MS17-010:Windows SMB 服务器安全更新说明:2017 年 3 月 14 日

https://technet.microsoft.com/zh-cn/library/security/MS17-010


3.备份文件

4.尽快更新系统到最新版本,XP,03请尽快升级到7/8/10;08,12,16。



感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

 

-----------------------------------------------------------------------------

最新整理补丁

面向Windows 7的修复更新KB4012212:(支持Server 2008 R2)

64位版Windows 7:kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

32位版Windows 7:kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

面向Windows XP的修复更新KB4012598:(支持Server 2003)

64位版Windows XP:x64-custom-cht_9d5318625b20faa41042f0046745dff8415ab22a.exe 此版本有问题,请稍等

32位版Windows XP:x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe

面向Windows Vista的修复更新KB4012598:(支持Server 2008)

64位版Windows Vista:x64-custom-cht_9d5318625b20faa41042f0046745dff8415ab22a.exe

32位版Windows Vista:kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

面向Windows 8的修复更新KB4012598:(支持Server 2012、WinRT)

64位版Windows 8:kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

32位版Windows 8:kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

面向Windows 8.1的修复更新KB4012598:(支持Server 2012 R2)

64位版Windows 8.1:kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

32位版Windows 8.1:kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu


关闭端口:


新建 1.TXT


%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit

@echo off

color 1f

title 关闭135 137 138 139 445 端口

echo. 

echo. 

echo. 

echo 正在关闭135端口 请稍候… 

netsh advfirewall firewall add rule name = "Disable port 135 - TCP" dir = in action = block protocol = TCP localport = 135

echo. 

netsh advfirewall firewall add rule name = "Disable port 135 - UDP" dir = in action = block protocol = UDP localport = 135

echo. 

echo 正在关闭137端口 请稍候… 

netsh advfirewall firewall add rule name = "Disable port 137 - TCP" dir = in action = block protocol = TCP localport = 137

echo. 

netsh advfirewall firewall add rule name = "Disable port 137 - UDP" dir = in action = block protocol = UDP localport = 137

echo. 

echo 正在关闭138端口 请稍候… 

netsh advfirewall firewall add rule name = "Disable port 138 - TCP" dir = in action = block protocol = TCP localport = 138

echo. 

netsh advfirewall firewall add rule name = "Disable port 138 - UDP" dir = in action = block protocol = UDP localport = 138

echo. 

echo 正在关闭139端口 请稍候… 

netsh advfirewall firewall add rule name = "Disable port 139 - TCP" dir = in action = block protocol = TCP localport = 139

echo. 

netsh advfirewall firewall add rule name = "Disable port 139 - UDP" dir = in action = block protocol = UDP localport = 139

echo. 

echo 正在关闭445端口 请稍候… 

netsh advfirewall firewall add rule name = "Disable port 445 - TCP" dir = in action = block protocol = TCP localport = 445

echo. 

netsh advfirewall firewall add rule name = "Disable port 445 - UDP" dir = in action = block protocol = UDP localport = 445

echo.

echo 按任意键退出 

pause>nul


保存改名 1.BAT, 右击管理员身份运行。

评论