北京时间2017年5月12日,一款名为“WannaCry”的勒索软件在全球范围内爆发,造成极大影响。
一、网络攻击事件背景
此次爆发的“WannaCry”勒索蠕虫病毒,主要利用微软Windows操作系统的MS17-010漏洞进行自动传播,对多种类型的文件加密并添加“onion”后缀,使用户无法打开。相关数据显示,每小时攻击次数高达4000余次。
二、“WannaCry”勒索蠕虫病毒的特点及危害
(一)攻击特性
1、爆发突然。短短一天内,在几乎毫无任何预兆的情况下,百余个国家和地区遭受攻击并呈现蔓延态势。
2、行为恶劣。勒索蠕虫一旦成功入侵,将加密用户文档,并通过破坏硬盘快照的方式增加系统恢复难度,不交付赎金(单机解密赎金300美元至600美元,一般通过比特币支付)无法解密。
3、自动传播。可利用Windows平台所有版本(winXP、Vista、Win7、Win8、Win10、Win server 2003、Win server 2008、Win server 2012等)的漏洞进行自动传播,未打补丁的机器极易感染并在内外网快速传播。
4、无法解密。勒索软件使用AES128加密文件,使用RSA2048公钥加密AES密钥,基本无法通过计算或碰撞的方式进行解密。
5、通信匿名。勒索软件进行攻击后,会自动释放Tor网络组件,用于解密程序的网络通信,赎金使用比特币支付,使勒索过程难以追踪溯源。
(二)现实危害
1、文档损失。遭受攻击的各类文档均被加密,无法访问。
2、系统停服。系统会不断弹出交付赎金的窗口,无法正常使用。
三、应急响应
我厅信息管理中心于周六(5月13日)上午七点,第一时间组织相关人员展开病毒的防御工作:
(一)在我厅互联网边界安全设备、内外网核心防火墙、核心交换设备均强行阻断445、135、137、138、139等端口的连接请求,防止病毒从外部传入,同时有效阻断在厅内局域网的传播路径。
(二)统一升级趋势最新的病毒代码库,有针对性的下发安全阻止策略,防止可能发生的蠕虫病毒蔓延。
(三)对我厅内外网所有安装Windows系统的服务器进行相应版本补丁升级,关闭部分重要业务系统的相关端口。
截止5月14日晚上20:00,在信息管理中心全体同仁努力下,我厅内外网业务系统服务器暂无一例“WannaCry”病毒感染事件发生。
四、个人PC处置建议
(一)对于已经感染“WannaCry”勒索蠕虫的计算机,应立即通知我中心,同时切断所有网络连接,避免病毒在局域网扩散。
(二)厅内人员周一(5月15日)第一次开机前,请断开网络连接,请各处室联络员至信息管理中心517房间领取相应补丁光盘或优盘,及时安装针对该漏洞的Windows修复补丁后再连接网络(补丁在附件中进行下载),使用安装如有问题请联系我中心。
(三)内网个人PC必须安装财政部统一的趋势杀毒软件。
五、日常使用建议
在日常计算机使用过程中,对重要信息数据及时进行备份;浏览网页和使用电子邮件的过程中,切勿随意点击链接地址;及时更新操作系统及相关软件版本,实时安装公开发布的漏洞修复补丁。
信息管理中心
2017年5月14日