近期国内及我区多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资和个人数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序 。
据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,校园网就是受攻击的重灾区!
该病毒通过扫描互联网上存在SMB安全漏洞的目标主机进行植入勒索软件和木马等恶意软件。此病毒利用的SMB漏洞影响以下未自动更新的操作系统:
WindowsXP/Windows2000/Windows2003
WindowsVista/WindowsServer2008/Windows Server2008R2
Windows7/Windows8/Windows10
WindowsServer2012/WindowsServer2012R2/WindowsServer2016
在此提醒校园网师生用户做好如下防护措施:
1.未升级操作系统的处理方式(不推荐,仅能临时缓解):
启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
2.升级操作系统的处理方式(推荐):
建议广大师生使用自动更新升级到Windows的最新版本。对于WIN7/WIN8/WIN10等系统,微软已经发布MS17-010补丁修复该漏洞,请及时使用安全软件(如360、金山等)更新相关补丁(https://technet.microsoft.com/zh-cn/library/security/MS17-010);
3.对重要的数据文件和文档做好异地备份和移动存储介质备份的习惯。
4.停止使用WindowsXP、Windows2003等微软已不再提供安全更新的操作系统。对仍然使用这些系统的,尝试使用360NSA武器库修复工具,下载地址:http://dl.360safe.com/nsa/nsatool.exe)。
5、要强化网络安全意识。删除不明邮件,不点击不明链接或网站,不明文件不要下载。
6、在电脑防火墙或相关安全软件上关闭如445、135、137、138、139、3389端口,关闭网络共享。
7、如发现被该病毒感染的事件,请与信息网络中心用户服务部联系,电话:87815100。
参考链接:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
https://github.com/x0rz/EQGRP_Lost_in_Translation/
