图勒索软件界面图(来源:安天公司)
图用户文件被加密(来源:安天公司)
二、应急处置措施
CNCERT已经着手对勒索软件及相关网络攻击活动进行监测,5月13日9时30分至12时,境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址(包括进行攻击尝试的主机地址以及可能已经感染蠕虫的主机地址)数量9300余个。建议广大用户及时更新Windows已发布的安全补丁更新,同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作:
(一)关闭445等端口(其他关联端口如:135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口(具体操作请见参考链接);
(二)加强对445等端口(其他关联端口如:135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(三)及时更新操作系统补丁。
(四)安装并及时更新杀毒软件。
(五)不要轻易打开来源不明的电子邮件。
(六)定期在不同的存储介质上备份信息系统业务和个人数据。
CNCERT后续将密切监测和关注该勒索软件的攻击情况,同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本进行跟踪防范。
附:参考链接:
http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微软发布的官方安全公告)
http://www.cnvd.org.cn/webinfo/show/4110(CNVD安全公告)
http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html(安天防护手册)
