一、情况通报
5月12日晚全球大规模“勒索病毒”开始爆发,信息管理中心于13日1:30前完成校园网紧急应对措施的部署,采取了有效的防护措施:
1.在校园网边界、核心主干的交换路由设备禁止135/137/139/445端口的连接,阻断攻击的传播;
2.在数据中心防火墙禁止校内外对服务器135/137/139/445/3389端口的连接,对服务器实施重点保护;
3.通过“四川大学网络业务和安全态势大数据平台”对全网数据进行了分析,明确了该次攻击没有对我校造成影响,并对检测到的高危服务器采取措施隔离处理;
4.网络空间安全研究院和信息管理中心正在研究攻击样本,将提出进一步的全网安全防护措施,应对可能的变种病毒和攻击。
截止15日17时,我校校园网运行正常,尚未接到任何勒索病毒中毒报告。
后续我校将继续加大检测力度,做好防护措施,确保网络和系统安全。
二、病毒发展趋势
目前,有关部门监测发现,WannaCry 勒索蠕虫已经出现了变种:WannaCry 2.0,该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同。现在该病毒主要通过网络445端口进行传播,不能排除以后还可能会通过U盘、移动硬盘、钓鱼邮件等其他方式进行传播,故要充分引起重视,加强安全意识,防止病毒入侵。
三、防范措施
“勒索病毒”利用Windows操作系统漏洞入侵电脑,感染成功后将用户文档和数据全部加密并显示勒索信息,支付高额赎金后才可能恢复个人文档和数据库,除支付赎金外,业界目前尚无解密办法。据报道已经有部分国内高校网络用户和大量国内外行业用户遭受严重损失。
应首先确认主机是否被感染:被感染的机器屏幕会显示告知付赎金的界面。
(一)已被感染主机处理办法
1.将该主机隔离或断网(拔网线);
2.若客户存在该主机备份,则启动备份恢复程序;
3.与信息管理中心联系,获得帮助。
(二)主机防护方法
有三种方法可以避免主机被感染。针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。
从响应效率和质量上,建议首先采用方式一进行抑制,再采用方式二进行根除。
方式一:启用蠕虫快速免疫工具
免疫工具的下载地址: http://dl.b.360.cn/tools/OnionWormImmune.exe
请双击运行OnionWormImmune.exe工具,并检查任务管理器中的状态。
方式二:针对主机进行补丁升级
微软已经发布winxp_sp3至win10、win2003至win2016的全系列补丁,请参考以下链接安装MS17-010补丁。
微软官方下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010
快速下载地址:https://yunpan.cn/cXLwmvHrMF3WI,访问密码:614d
方式三:关闭445端口相关服务
此方式存在副作用,电脑未来将无法使用共享文件。
操作办法:点击“开始”->“运行”->输入“cmd”->确认->输入“netstat-an” ->按“回车键”->查看445 端口状态(如出现“445 端口”字样,就需要进行以下步骤):
输入“net stop rdr”->按“回车键”->输入“net stop srv”->按“回车键”->输入“net stop netbt”->按“回车键”->输入“netstat–an”,成功关闭445 端口。
操作界面:
技术支持与联系方式如下:
望江校区: 85414820(终端用户)/85414766(服务器用户)
江安校区: 85995112(终端用户)
联系信箱:security@scu.edu.cn
QQ群:522752089
四川大学校园网络安全与信息化工作领导小组办公室
(四川大学信息管理中心代章)
2017年5月15日