關于重點防范Windows操作系統勒索軟件攻擊的情況公告

2017-05-13 13:48:59

安全公告編號:CNTA-2017-0039

北京時間5月13日,互聯網上出現針對Windows操作系統的勒索軟件的攻擊案例,勒索軟件利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行滲透傳播,并向用戶勒索比特幣或其他價值物,涉及到國內用戶(已收到多起高校案例報告),已經構成較為嚴重的攻擊威脅。

一、勒索軟件情況

4月16日,CNCERT主辦的CNVD發布《關于加強防范Windows操作系統和相關軟件漏洞攻擊風險的情況公告》,對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報(相關工具列表如下),并對有可能產生的大規模攻擊進行了預警:

表 有可能通過445端口發起攻擊的漏洞攻擊工具

工具名稱 主要用途
ETERNALROMANCE SMB 和NBT漏洞,對應MS17-010漏洞,針對139和445端口發起攻擊,影響范圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2
EMERALDTHREAD SMB和NETBIOS漏洞,對應MS10-061漏洞,針對139和445端口,影響范圍:Windows XP、Windows 2003
EDUCATEDSCHOLAR SMB服務漏洞,對應MS09-050漏洞,針對445端口
ERRATICGOPHER SMBv1服務漏洞,針對445端口,影響范圍:Windows XP、 Windows server 2003,不影響windows Vista及之后的操作系統
ETERNALBLUE SMBv1、SMBv2漏洞,對應MS17-010,針對445端口,影響范圍:較廣,從WindowsXP到Windows 2012
ETERNALSYNERGY SMBv3漏洞,對應MS17-010,針對445端口,影響范圍:Windows8、Server2012
ETERNALCHAMPION SMB v2漏洞,針對445端口

綜合CNVD技術組成員單位奇虎360公司、安天公司等單位已獲知的樣本情況和分析結果,該勒索軟件在傳播時基于445端口并利用SMB服務漏洞(MS17-010),總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導致的后續黑產攻擊威脅。當用戶主機系統被該勒索軟件入侵后,彈出如下勒索對話框,提示勒索目的并向用戶索要比特幣。而用戶主機上的重要數據文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等多種類型的文件,都被惡意加密且后綴名統一修改為“.WNCRY”。目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟件滲透,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。

圖 勒索軟件界面圖(來源:安天公司) 圖 用戶文件被加密(來源:安天公司)

二、應急處置措施

根據CNVD秘書處普查的結果,互聯網上共有900余萬臺主機IP暴露445端口(端口開放),而中國大陸地區主機IP有300余萬臺。CNCERT已經著手對勒索軟件及相關網絡攻擊活動進行監測,目前共發現有向全球70多萬個目標直接發起的針對MS17-010漏洞的攻擊嘗試。建議廣大用戶及時更新Windows已發布的安全補丁,同時在網絡邊界、內部網絡區域、主機資產、數據備份方面做好如下工作:

(一)關閉445等端口(其他關聯端口如: 135、137、139)的外部網絡訪問權限,在服務器上關閉不必要的上述服務端口;

(二)加強對445等端口(其他關聯端口如: 135、137、139)的內部網絡區域訪問審計,及時發現非授權行為或潛在的攻擊行為;

(三)由于微軟對部分操作系統停止安全更新,建議對Window XP和Windows server 2003主機進行排查(MS17-010更新已不支持),使用替代操作系統。

(四)做好信息系統業務和個人數據的備份。

CNCERT后續將密切監測和關注該勒索軟件對境內黨政機關和重要行業單位以及高等院校的攻擊情況,同時聯合安全業界對有可能出現的新的攻擊傳播手段、惡意樣本變種進行跟蹤防范。

附:參考鏈接:

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微軟發布的官方安全公告)

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/(微軟發布已停服務的XP和部分服務器版特別補?。?/p>

http://www.cnvd.org.cn/webinfo/show/4110(CNVD安全公告)