精品伊人久久大香线蕉,开心久久婷婷综合中文字幕,杏田冲梨,人妻无码aⅴ不卡中文字幕

研報(bào)點(diǎn)評

投資市場熱點(diǎn)更迭，每個(gè)熱點(diǎn)都存在投資邏輯，作為投資者很難辨別真?zhèn)巍！惊?dú)角獸研究】會(huì)不定期對熱點(diǎn)行業(yè)進(jìn)行獨(dú)家點(diǎn)評，通過產(chǎn)業(yè)鏈深入研究將這些熱點(diǎn)行業(yè)存在的風(fēng)險(xiǎn)及真正的成長性挖掘給廣大讀者。

來源|360安全檢測與響應(yīng)中心

編輯|獨(dú)角獸智庫

  第1章 事件描述

1.1 事件概述

2017年 5 月 12 日晚上起國內(nèi)多處高校網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)出現(xiàn)蠕蟲病毒傳播的勒索軟件感染爆發(fā)情況，受感染系統(tǒng)的磁盤文件會(huì)被病毒加密， ?示用戶支付高額贖金才能解密恢復(fù)文件。如果在規(guī)定時(shí)間內(nèi)不支付，文件數(shù)據(jù)就會(huì)被“撕票”，在企業(yè)環(huán)境下系統(tǒng)應(yīng)用文件的破壞很多時(shí)候直接導(dǎo)致業(yè)務(wù)中斷。

根據(jù)360 企業(yè)安全集團(tuán)的研判， 事件是由不法分子利用上月泄露的 NSA 黑客數(shù)字武器庫中“永恒之藍(lán)”工具發(fā)起蠕蟲病毒攻擊進(jìn)行勒索的惡性事件，我們把相應(yīng)的蠕蟲病毒命名為“永恒之藍(lán)” 蠕蟲（也稱為 WannaCry）。 不法分子構(gòu)造的惡意代碼會(huì)掃?攻擊存在漏洞的 Windows 機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入惡意代碼加密用戶數(shù)據(jù)實(shí)施數(shù)字勒索。

由于以前國內(nèi)多次爆發(fā)利用SMB 服務(wù)傳播的蠕蟲，部分運(yùn)營商在主干網(wǎng)絡(luò)上封禁了相關(guān) 445 端口，但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒有此限制而且并未及時(shí)安裝補(bǔ)丁，所以仍然存在大量易受攻擊的電腦，導(dǎo)致目前蠕蟲的泛濫。 目前蠕蟲存在幾個(gè)變種，有消息說已有新的感染能力更強(qiáng)的變種出現(xiàn)， 360威脅情報(bào)中心正在持續(xù)密切關(guān)注，有新變化會(huì)隨時(shí)更新本通告。

1.2 影響對象

“永恒之藍(lán)”勒索蠕蟲針對的是微軟Windows 操作系統(tǒng)，它利用了 Windows系統(tǒng)的一個(gè)遠(yuǎn)程命令執(zhí)行漏洞，微軟桌面版本操作系統(tǒng)：Windows 2000、 Windows XP、 Windows Vista、 Windows7、 Windows8、 Windows8.1、 Windows10；服務(wù)器版本操作系統(tǒng)： Windows Server 2000、Windows Server 2003、 Windows Server2008、Windows Server 2012、 WindowsServer 2016 等均受影響。

雖然微軟早已在3 月份就發(fā)布了針對 Windows 7 及以上版本操作系統(tǒng)的相關(guān)安全漏洞補(bǔ)丁MS17-010，但由于許多系統(tǒng)未及時(shí)安裝更新，導(dǎo)致本次蠕蟲爆發(fā)時(shí)未受到恰當(dāng)?shù)谋Ｗo(hù)。 此外， 對于 Windows XP、 2003 等老舊操作系統(tǒng)，微軟已不再?供安全更新，而國內(nèi)大量的教育機(jī)構(gòu)、政務(wù)辦公系統(tǒng)、業(yè)務(wù)應(yīng)用終端仍舊在使用 Windows XP 或 2003 系統(tǒng)， 這也是造成本次蠕蟲爆發(fā)的重要原因。

1.3 當(dāng)前影響

該勒索軟件同時(shí)具備加密勒索功能和內(nèi)網(wǎng)蠕蟲傳播能力，屬于新型的勒索軟件家族，危害極大。該病毒能夠輕而易舉的入侵具有相關(guān)漏洞的 Windows 計(jì)算機(jī)中的任何一臺(tái)， 目前監(jiān)測到的受感染 IP 已超過 75000 個(gè)。 受感染系統(tǒng)在感染后即被鎖定，所有文件被加密，用戶被要求支付價(jià)值300 美元的比特幣才能解鎖，不能按時(shí)支付贖金的系統(tǒng)會(huì)被銷毀數(shù)據(jù)， 造成嚴(yán)重?fù)p失。

從2017 年 5 月 12 日開始，僅僅幾個(gè)小時(shí)，該勒索軟件已經(jīng)攻擊了近百個(gè)國家，中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家的上千家企業(yè)及公共組織，至少 1600 家美國組織， 11200 家俄羅斯組織都受到了攻擊。據(jù) 360 威脅情報(bào)中心監(jiān)測， 全球超10 萬臺(tái)機(jī)器中招，國內(nèi)至少有 28388 個(gè)機(jī)構(gòu)被感染，覆蓋了國內(nèi)幾乎所有地區(qū)，在受影響的地區(qū)中，江蘇、浙江、廣東、江西、上海、山東、北京和廣西排名前八位。攻擊所影響的影響范圍遍布高校、火車站、自助終端、郵政、加油站、醫(yī)院、政府辦事終端等多個(gè)領(lǐng)域，不僅破壞大量高價(jià)值數(shù)據(jù)，而且直接導(dǎo)致很多公共服務(wù)無法正常工作。目前攻擊事態(tài)仍在蔓延，被感染的電腦數(shù)字還在不斷增長中。 本次攻擊受影響系統(tǒng)在國內(nèi)的省份分布如下:

此次勒索蠕蟲病毒爆發(fā)被國內(nèi)外安全業(yè)專家認(rèn)為是同類中危害程度空前的攻擊之一，該蠕蟲攻擊事件已經(jīng)造成非常嚴(yán)重的現(xiàn)實(shí)危害，各類規(guī)模的企業(yè)內(nèi)網(wǎng)、教育網(wǎng)、政府機(jī)構(gòu)已面臨此類威脅并有爆發(fā)態(tài)勢。 下面是 360 威脅情報(bào)中心對全國范圍內(nèi)受影響者的實(shí)時(shí)監(jiān)控圖：

  第2章 處置建議

2.1 確認(rèn)影響范圍

潛在受影響系統(tǒng)定位

使用開源（OpenVAS）或商業(yè)漏洞掃?工具檢查內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放 445 SMB服務(wù)端口的被認(rèn)定存在漏洞終端和服務(wù)器，對于 Win7 及以上版本的系統(tǒng)確認(rèn)是否安裝了MS17-010 補(bǔ)丁， 如沒有安裝則受威脅影響； Win7 以下的Windows XP/2003 如果沒有安裝 KB4012598 補(bǔ)丁，則也受漏洞的影響。

已感染蠕蟲系統(tǒng)發(fā)現(xiàn)

被感染的機(jī)器屏幕會(huì)顯示如下的告知付贖金的界面：

360企業(yè)安全天眼的未知威脅感知系統(tǒng)已添加蠕蟲相關(guān)的威脅情報(bào)，自動(dòng)更新即可檢測；天眼流量探針可及時(shí)檢測針對MS17-010 漏洞的攻擊，請將規(guī)則升級到最新版本。

2.2 根治方法

對于Win7 及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補(bǔ)丁 MS17-010 修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請立即電腦安裝此補(bǔ)丁。

對于Windows XP、 2003 等微軟按計(jì)劃已不再?供安全更新的機(jī)器，針對本次影響巨大的網(wǎng)絡(luò)攻擊事件，微軟特別?供了補(bǔ)丁，請到如下網(wǎng)址下載安裝：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

基于攻擊面最小化的安全實(shí)踐，建議用戶關(guān)閉并非必需使用的Server 服務(wù)，操作方法見 應(yīng)急處置 節(jié)。

2.3 應(yīng)急處置

網(wǎng)絡(luò)層面

目前利用漏洞進(jìn)行攻擊傳播的蠕蟲開始泛濫，360 企業(yè)安全強(qiáng)烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷 445 端口的訪問，如果邊界上有 IPS 和 360 新一代智慧防火墻之類的設(shè)備，請升級設(shè)備的檢測規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，也可以在智慧防火墻上配置臨時(shí)的DNS 誘導(dǎo)配置，直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了 MS17-010 補(bǔ)丁或關(guān)閉了Server 服務(wù)。

終端層面

暫時(shí)關(guān)閉Server 服務(wù)。

檢查系統(tǒng)是否開啟Server 服務(wù)，以 Win7 系統(tǒng)為例，其他系統(tǒng)類似：打開開始 按鈕，選擇 控制面板，選擇 管理工具， 雙擊 服務(wù)在出來選擇框中選擇 Server ，如果如下圖，狀態(tài) 為已啟動(dòng) ，則當(dāng)前 Server服務(wù)為啟動(dòng)狀態(tài)，需要加以關(guān)閉。

如果如上述Server 服務(wù)為當(dāng)前開啟狀態(tài)，右鍵點(diǎn)擊 Server 條目，選擇屬性，在出來的對話框中點(diǎn)擊 停止（ T） 按鈕，以關(guān)閉服務(wù)，在 啟動(dòng)類型 下拉框中選擇 禁用 ，點(diǎn)擊右下角的 應(yīng)用（A） ，完成配置的修改。界面情況如下圖：

完成配置以后不受漏洞影響的狀態(tài)如下，狀態(tài)列為空，啟動(dòng)類型 列為禁用：

最好能重啟系統(tǒng)以確保配置生效。

感染處理對于已經(jīng)感染勒索蠕蟲的機(jī)器建議立即隔離處置，避免其進(jìn)一步攻擊其他網(wǎng)內(nèi)系統(tǒng)。

360公司深入分析病毒原理，發(fā)現(xiàn)有可能恢復(fù)一定比例文件的急救方案，發(fā)布了《360“勒索蠕蟲病毒文件恢復(fù)工具”操作指南》，實(shí)際操作成功概率會(huì)受到文件數(shù)量等多重因素影響，詳細(xì)教程：

https://media.weibo.cn/article?id=2309404107129664487886&luicode=20000061&lfid=4107129663509122&featurecode=20000180&sudaref=m.weibo.cn

防護(hù)工具

針對目前的復(fù)雜事件處理細(xì)節(jié)，360 企業(yè)安全專門發(fā)布了《針對“永恒之藍(lán)”攻擊緊急處置手冊（蠕蟲 WannaCry）》，其中包含了更詳細(xì)的操作處理步驟和360 ?供的特別工具。請到如下網(wǎng)址下載：

http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458365

360企業(yè)安全天擎團(tuán)隊(duì)還開發(fā)了一款勒索蠕蟲漏洞修復(fù)工具，此修復(fù)工具集成免疫、 SMB 服務(wù)關(guān)閉和各系統(tǒng)下 MS17-010 漏洞檢測與修復(fù)于一體。可在離線網(wǎng)絡(luò)環(huán)境下一鍵式修復(fù)系統(tǒng)存在的 MS17-010 漏洞，根本解決勒索蠕蟲利用MS17-010 漏洞帶來的安全隱患。

該工具已完成了一次版本更新，此次更新包括：

1.解決未關(guān)閉 lanmanserver 導(dǎo)致部分環(huán)境 445 端口未關(guān)閉的問題；

2.解決 server 2008 r2 系統(tǒng)判斷問題；

3.解決補(bǔ)丁修復(fù)配置帶上了月度匯總更新造成重復(fù)?示的問題；

4.解決一些小 bug

已經(jīng)過server2003 sp2、 server 2008 x86 sp2、server 2008 R2 X64 sp1、server2012、server2012 r2 幾個(gè)系統(tǒng)的完整測試。更新后的主要的表現(xiàn)是解決“用工具處理過一次之后，重啟掃?仍然會(huì)出現(xiàn)”這個(gè)問題。 下載地址：http://b.360.cn/other/onionwormfix

360企業(yè)安全新一代智慧防火墻（NSG3000/5000/7000/9000 系列）和下一代極速防火墻（ NSG3500/5500/7500/9500系列）產(chǎn)品系列，通過更新 IPS 特征庫和應(yīng)用識(shí)別特征庫已經(jīng)完成了蠕蟲變種的防護(hù)和識(shí)別，強(qiáng)烈建議用戶盡快將IPS 特征庫及應(yīng)用識(shí)別特征庫均升級至“ 20170513”版本。并且，針對目前流傳的蠕蟲，可以在防火墻中臨時(shí)配置DNS 誘導(dǎo)，使病毒生效前自動(dòng)退出。

360網(wǎng)康上網(wǎng)行為管理 ICG 產(chǎn)品系列通過更新應(yīng)用協(xié)議特征庫，已經(jīng)完成了蠕蟲變種的識(shí)別，建議用戶盡快將應(yīng)用協(xié)議特征庫升級至 232 期，從而檢測和阻斷蠕蟲的傳播或攻擊。

2.4 長效措施

建議針對重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，針對重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤或者設(shè)備進(jìn)行替換。