最近“永恒之蓝”比特币勒索病毒大面积暴发,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。
病毒攻击原理
此病毒其实是利用了微软 Microsoft Windows SMB 服务器通信协议进行传播的。并且微软已经于3月份发布了安全更新包,但是由于很多校园网、医院、政府机构专网的电脑或服务器没有安装安全更新,造成大面临感染。实际上很多运行Windows的服务器也不可能自动安装安全更新,因为这可能会导致服务器的重启。SMB(Server Message Block,又称Common Internet File System(CIFS)),主要用来使得一个网络上的机器共享计算机文件、打印机、串行端口和通讯等资源。它也提供认证的行程间通讯机能。它主要用在装有Microsoft Windows的机器上,被称为Microsoft Windows Network。使用445端口。攻击者利用向 Windows SMBv1 服务器445端口(文件、打印机共享服务)发送特殊设计的消息,来远程执行攻击代码。即此病毒不需要你点开任何文件,打开任何网页被有可能被动感染,几乎无法防范。
漏洞详情:https://technet.microsoft.com/zh-cn/library/security/MS17-010
感染的操作系统主要包括:
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 / Windows Server 2012 R2
即,除了Win10以外的Windows操作系统均有可能会被感染。
解决方法1:安装安全更新微软官方下载地址:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
解决方法2:关闭 445 端口相关服务点击开始菜单,运行,cmd,确认。 输入命令 netstat –an 查看端口状态
Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。
保留所有权利。
C:\Users\c2u>netstat -an
活动连接
协议 本地地址 外部地址 状态
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7680 0.0.0.0:0 LISTENING
TCP 0.0.0.0:11066 0.0.0.0:0 LISTENING
TCP 0.0.0.0:11200 0.0.0.0:0 LISTENING
输入 net stop rdr 回车 net stop srv 回车 net stop netbt 回车
再次输入 netsta –an,成功关闭 445 端口。
以上就介绍了 "永恒之蓝"比特币勒索病毒(WannaCry)的攻击原理
@晴-2017-05-15 09:34:45
