全体校园网用户:
5月12日20点,爆发大规模勒索蠕虫病毒,此安全事件影响范围包括全部开放445端口的windows操作系统,影响范围巨大。尤其是内网传播,对个人电脑危害巨大,表现中病毒计算机/服务器的文件被加密,并出现索要赎金的画面。
建议全体校园网用户第一时间对本人电脑进行排查和处理。具体建议如下:
一、暂时关闭Server服务
检查系统是否开启Server服务:
1、打开开始按钮,点击运行,输入cmd,点击确定
2、输入命令:netstat -an 回车
3、查看结果中是否还有445端口
如果发现445端口开放,需要关闭Server服务,以Win7系统为例,操作步骤如下:
点击开始按钮,在搜索框中输入cmd,右键点击菜单上面出现的cmd图标,选择以管理员身份运行,在出来的 cmd 窗口中执行"net stop server"命令,会话如下图:
二、感染处理
对于已经感染勒索蠕虫的机器建议隔离处置。
三、根治方法
对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了"永恒之蓝"攻击的系统漏洞(https://technet.microsoft.com/zh-cn/library/security/MS17-010),请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务,操作方法见应急处置方法节。
对于Windows XP、2003等微软已不再提供安全更新的机器,推荐使用360"NSA武器库免疫工具"检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:https://dl.360safe.com/nsa/nsatool.exe。这些老操作系统的机器建议加入淘汰替换队列,尽快进行升级。
四、其他相关事项
一)个人预防措施:
1、未升级操作系统的处理方式(不推荐,临时缓解):启用并打开"Windows防火墙",进入"高级设置",在入站规则里禁用"文件和打印机共享"相关规则。
2、升级操作系统的处理方式(推荐):建议广大师生使用自动更新升级到Windows的最新版本。
3、不要点击不明邮件内的链接信息
二)学校缓解措施:
1、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;
2、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
三)建议加固措施:
1、及时升级操作系统到最新版本;
2、勤做重要文件非本地备份;
3、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。