2017年5月12日20时左右,全球爆发大规模勒索软件感染事件


2017 年 5 月 12 日全球多个国家和地区爆发的一次黑客利用先前泄露的 NSA 攻击工具「永恒之蓝」(Eternal Blue)进行的大规模攻击勒索,该攻击导致大量用户文档和图片无法打开,并被要求支付赎金。
一、事件概况
2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击。我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。众多师生的电脑文件被病毒加密,只有支付赎金才能恢复,由于正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。
二、WannaCry勒索软件
此次勒索软件的主角“WannaCry”(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”),它会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。
软件利用美国国家安全局黑客武器库泄露的“永恒之蓝”发起病毒攻击。事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。Win7以下的Windows XP/2003目前没有补丁,只要开启SMB服务就受影响。一旦电脑感染了Wannacry病毒,受害者要高达300美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。
勒索软件将受感染电脑里的文件使用AES-128算法加密,感染后的文件扩展名会变为.UIWIX,.WNCRY扩展名,需要解密秘钥才可以还原文件。在文件被加密的同时,会弹出一个名为Wanna Decryptor 2.0的弹出窗口。说明了你已经遭到攻击以及如何恢复文件。
三、应急处置方法:
1、防火墙屏蔽445端口
2、利用 Windows Update 进行系统更新
3、关闭 SMBv1 服务
3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户
对于客户端操作系统:
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。
对于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。
3.2 适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表
注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建项︰ SMB1,值0(DWORD)
重新启动计算机
最后提醒大家,重要的数据备份,备份,再备份。重要的事情说三遍!!

点赞
  1. 代写说道:

    很多课程教师加上学者用笔记本电脑信息加密病原体,以偿还赎金,以便可以返回,由于使用机构高等教育一年左右的时间相吻合,勒索软件包括导致几个毕业论文似乎被篡改 通过使用,直接影响高等教育的答案。

发表评论

电子邮件地址不会被公开。 必填项已用*标注