详解｜NSA “永恒之蓝”勒索蠕虫爆发，开机即可被勒索到底怎么回事（内附解决办法及预防措施）
5 月 12 日晚上 20 时左右，全球爆发大规模勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了教学系统瘫痪，包括校园一卡通系统。［来源：中国之声］攻击次数高，勒索金额大据雷锋网了解，这次事件是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。这次的“永恒之蓝”勒索蠕虫，是 NSA 网络军火民用化的全球第一例。一个月前，第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布，包含了涉及多个 Windows 系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。恶意代码会扫描开放 445 文件共享端口的 Windows 机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为 5 万多元和 2000 多元。安全专家还发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。没有关闭的 445 端口“引狼入室”据360企业安全方面5月13日早晨提供给雷锋网的一份公告显示，由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。因此，该安全事件被多家安全机构风险定级为“危急”。目前，雷锋网尚未获得中国范围内具体 445 端口开放的机器数量。但是，雷锋网了解到，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。目前大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响：扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS07-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。个人可自行判定电脑是否打开了 445 端口。不过，在对360 企业安全资深专家汪列军的采访中，雷锋网了解到，目前 90 %未关闭的 445 端口集中在中国台湾和香港地区，大陆地区虽然占比很少，但基数很大。虽然，在2008年遭受类似的蠕虫攻击后，运营商已经封闭了大多数445端口，但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭 445端口，所以影响范围很大。汪列军判定，该攻击已经肆虐到了全世界上百个国家和地区，这种大规模的勒索攻击十分罕见，他昨晚甚至在通宵加班，紧急处理该问题。雷锋网发现，多家安全公司都进行了紧急处理，在今晨5、6点左右开始对外发布紧急通知。最恐怖的一点在于，对装载Win7及以上版本的操作系统的电脑而言，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，可以立即电脑安装此补丁。汪列军说，对个人电脑，可能可以自行学习及装载，但是对于大型组织机构而言，面对成百上千台机器，必须使用集中管理的客户端，尤其如果之前没有做好安全防护措施的大型组织管理机构，处理起来十分棘手。之前提到，有两个勒索家族出现，汪列军认为，不排除该勒索蠕虫出现了多个变种。不法分子是将此前公布的“永恒之蓝”攻击程序改装后进行的攻击。汪列军解析，可以理解为该NSA攻击工具内核没变，但是不法分子改变了其“载核”，加上了勒索攻击的一系列调动工具，由于该NSA攻击工具可以被公开下载，不排除可有多个不法分子改装该工具发动勒索袭击。应急处理办法以下为360企业安全提供给雷锋网的一份处理办法建议：网络层面目前利用漏洞进行攻击传播的蠕虫开始泛滥，强烈建议网络管理员在网络边界的防火墙上阻断 445 端口的访问，如果边界上有 IPS 和 360 新一代智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。终端层面暂时关闭Server服务。检查系统是否开启Server服务：1、打开 开始 按钮，点击 运行，输入cmd，点击确定2、输入命令：netstat -an 回车3、查看结果中是否还有445端口如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：点击 开始 按钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd图标，选择 以管理员身份运行 ，在出来的cmd窗口中执行 “net stop server”命令，会话如下图：感染处理对于已经感染勒索蠕虫的机器建议隔离处置。根治方法对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务，操作方法见 应急处置方法 节。对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址：/nsa/nsatool.exe 。这些老操作系统的机器建议加入淘汰替换队列，尽快进行升级。恢复阶段建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。此外，已有安全厂商发布了预防处理类产品，大家自行搜索一下吧！雷锋网原创文章，未经授权禁止转载。
看过本文的人还看过
最新图文推荐
最新专栏文章
大家感兴趣的内容
网友热评的文章比特币永恒之蓝病毒补丁下载|永恒之蓝攻击补丁V05134 最新版 - 未来软件园下载站
手机版,更便捷!
当前位置： >
> 永恒之蓝攻击补丁V05134 最新版
永恒之蓝攻击补丁V05134 最新版比特币永恒之蓝病毒补丁下载
比特币勒索病毒永恒之蓝怕了吧！赶紧下载永恒之蓝攻击补丁，来防御下吧！这是比特币病毒专杀补丁，点击此页面下载的修复“永恒之蓝”攻击系统漏洞补丁可以很好的用来抵御全球爆发的电脑勒索病毒!你值得下载。比特币永恒之蓝病毒相关报道5月12日开始，WannaCrypt(永恒之蓝)勒索蠕虫突然爆发，影响遍及全球近百国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者，我国的校园网和多家能源企业、政府机构也中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失，全球超10万台机器被感染。WannaCrypt(永恒之蓝)勒索蠕虫是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。针对国内感染状况，5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势，截至到当天下午19:00，国内有28388个机构被“永恒之蓝”勒索蠕虫感染，覆盖了国内几乎所有地区。如何抵御全球突发的电脑勒索病毒:为计算机安装最新的安全补丁，微软发布的补丁——永恒之蓝攻击的系统漏洞，请尽快安装此安全补丁,下载地址已经提供最新微软补丁官方下载地址!放心下载。建议国内各大型机构采取以下紧急处置措施。1、 确认影响范围潜在受影响系统确认扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS17-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。已感染蠕虫系统发现被感染的机器屏幕会显示如下的告知付赎金的界面：360企业安全天眼系统已经更新了检测规则，自动更新规则以后，对发生感染的系统会产生告警。2、应急处置方法在网络层面，目前利用漏洞进行攻击传播的蠕虫开始泛滥，360企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有I和360天堤智慧之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。在终端层面，如果发现445端口开放，需要关闭Server服务。360企业安全天擎团队已经针对WannaCry勒索蠕虫开发了一个免疫工具，此程序在电脑上运行以后，现有蠕虫将不会感染系统。(免疫工具下载地址：/other/onionwormimmune)360企业安全新一代智慧防火墙(NSG00/9000系列)和下一代极速防火墙(NSG00/9500系列)产品系列，通过更新IPS特征库和应用识别特征库已经完成了蠕虫变种的防护和识别，强烈建议用户尽快将IPS特征库及应用识别特征库均升级至“”版本。对于已经感染勒索蠕虫的机器建议隔离处置。3、 根治方法对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。对于Windows XP、2003等微软按计划已不再提供安全更新的机器，针对本次影响巨大的网络攻击事件，微软特别提供了补丁，请到如下网址下载安装：http://www.catalog./Search.aspx?q=KB4012598出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务，操作方法见 应急处置方法 节。4、 恢复阶段建议针对重要业务系统立即进行数据，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。5、下载永恒之蓝攻击未来软件园本页面下载补丁，双击安装，重启电脑即可修复漏洞。
想要出去旅游,不认识路怎么办！就需要用地图,相信很多人旅游前就会查一下自己去玩的地方的地图一直有自己不会迷路。现在的地图导航软件爱你非常的多,比如高德地图、谷歌地图、百度地图等等,但是哪一款好用呢？为了解决大家的困惑,小编给大家整理了最好用的、最新的、最热门的地图软件,大家可以选择自己最喜欢的地图软件下载！
永恒之蓝攻击补丁V05134 最新版
高速下载器通道
其他下载地址
下载不了？
热门排行榜
网页浏览器比特币病毒 来袭,教你关闭445端口 简单好啊
　　#比特币#来袭，教你关闭445端口
　　 注意：我国正在大规模传播勒索软件，本次攻击定位目标为全国各地高校。
　　如果你是在校学生，或者员工，那么请把此文传转给你的老师，同学，朋友，亲属，并建议他们直接关闭445端口!
　　一、立刻使用U潘，，或者网盘备份你的重要资料
　　二、关闭Windows系统的445、135、等端口，关闭共享端口
　　三、已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此补丁，网址为https://technet..com/zh-cn/library/security/MS17-010。
　　四、如果已经中招，千万不要去交赎金，因为不一定可以解开
　　关闭445端口的方法!
　　启动设置!​
　　点击入站规则和新建规则​
　　填写135和445 记得一定要小写,​
　　选择阻止连接​
　　自己想个名字!​
责任编辑：白志飞
* 声明：本文章为网友上传文章，如果存在出处、来源错误，或内容侵权、失实问题，请及时与我们联系。本文仅代表原媒体及作者观点，不代表比特网立场。
猜你感兴趣蠕虫式勒索病毒_反勒索病毒方法_勒索病毒变种2.0
蠕虫式勒索病毒_反勒索病毒方法_勒索病毒变种2.0
　　近日，全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击，被攻击者被要求支付比特币才能解锁。可怕的是现在它出现了变种。　　勒索病毒发生变种!2.0来袭，可怕的是未来还将威胁数十亿部手机!　　已感染病毒机器请立即断网。监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。　　5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。　　据了解，这种勒索软件是不法分子利用了美国国家安全局网络武器库中泄露出的黑客工具。美国国土安全部12日发表声明称，已获悉上述勒索软件影响全球多个实体。但是，声明除介绍勒索软件的定义、微软已针对这个漏洞发布补丁、提醒用户应安装补丁外，没有说明更多情况。　　请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。　　北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》如下。　　关于WannaCry 勒索蠕虫出现变种　　及处置工作建议的通知各有关单位：　　有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。　　一、请立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。　　二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。　　三、一旦发现中毒机器，立即断网。　　四、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口，关闭网络文件共享。　　五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。　　六、尽快备份自己电脑中的重要文件资料到存储设备上。　　七、及时更新操作系统和应用程序到最新的版本。　　八、加强电子邮件安全，有效的阻拦掉钓鱼邮件，可以消除很多隐患。　　九、安装正版操作系统、Office软件等。　　北京市委网信办　　北京市公安局　　北京市经信委　　日　　提醒 ┊ 你的论文还在么?防国际勒索病毒几步走　　5月12日爆发的敲诈者病毒，目前已攻击包括中国在内的全球近百个国家和地区的电脑。中毒用户的个人电脑文件全部被加密，并被黑客勒索高额赎金才予以解密。“中招”用户也涉及到包括校园网用户，以及机场、银行、加油站、医院等各行业，已经构成较为严重的攻击威胁。　　中国高校网络也成为此次“敲诈者病毒”袭击的重灾地。目前，包括山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知，提醒师生注意防范。　　据悉，此勒索病毒利用此前美国国家安全局(NSA)被泄露的“永恒之蓝”漏洞工具，因此无需受害者下载、查看或打开任何文件即可发动攻击。该木马通过加密形式，锁定用户电脑里的txt、doc、ppt、xls等后缀名类型的文档，导致用户无法正常使用程序。　　由于目前，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，且用户重要数据文件不能直接恢复。恰逢毕业季，学生们面临实验室数据丢失、毕业论文被锁的困局。　　据腾讯电脑管家的安全研究人员分析，校园网是独立性，不及时更新补丁，以及中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，是此次事件在中国高校内大肆传播的原因。　　而关于病毒所勒索最低300美元的赎金。腾讯安全联合实验室反病毒实验室负也提醒广大用户，一旦被锁定和勒索，不要向勒索者缴纳赎金。　　由于高校、政府机关等单位的内网因为无法直接连接外网，所以会继续遭受内网其他染毒机器的攻击，警惕周一因集中开机造成的病毒二次爆发。　　在此提醒广大用户做好以下防范措施保护电脑文档安全：　　1.临时关闭端口。Windows用户可以使用防火墙过滤个人电脑，并且临时关闭135、137、445端口3389远程登录(如果不想关闭3389远程登录，至少也是关闭智能卡登录功能)，并注意更新安全产品进行防御，尽量降低电脑受攻击的风险。　　Windows用户可以使用防火墙过滤个人电脑，并且临时关闭135、137、445端口3389远程登录　　2.及时更新 Windows已发布的安全补丁。在3月MS17-010漏洞刚被爆出的时候，微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后，微软也迅速对此前尚未提供官方支持的WindowsXP等系统发布了特别补丁。　　3.利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版，并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭Wi-Fi，拔掉网线，断网状态下开机，并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版，进行一键修复漏洞;联网即可正常使用电脑。　　腾讯电脑管家针对于勒索病毒推出“勒索病毒免疫工具”　　4.备份。重要的资料一定要备份，谨防资料丢失。　　最后，提醒广大用户，务必强化网络安全意识，陌生链接不点击，陌生文件不要下载，陌生邮件不要打开!
读了《蠕虫式勒索病毒_反勒索病毒方法_勒索病毒变种2.0》的人还读了:
下页更精彩：1
本文已影响人
与蠕虫式勒索病毒_反勒索病毒方法_勒索病毒变种2.0相关的文章
蠕虫式勒索病毒_反勒索病毒方法_勒索病毒变种2.0网友评论
相关内容推荐：Wannacry蠕虫勒索软件“永恒之蓝”3种修复方案
据BBC报道，计算机网络病毒攻击已经扩散到74个国家，包括美国、英国、中国、俄罗斯、西班牙、意大利等。请注意：目前国内正在大规模的传播勒索软件，本次攻击的主要目标是位于全国各地的高校。
疑似通过校园网传播，十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。
另外有网友反映，大连海事大学、山东大学等也受到了病毒攻击。
攻击者利用Windows系统默认开放的445端口在高校校园网内进行传播，攻击者不需要用户进行任何操作即可进行感染。
感染后设备上的所有文件都将会被加密，攻击者声称用户需要支付300~600美元的比特币才可以解锁。
而目前众多高校学生正在忙着论文，一旦被加密即使支付也不一定能够获得解密密钥。
漏洞名称：
Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)
包含如下CVE：
CVE- 严重 远程命令执行
CVE- 严重 远程命令执行
CVE- 严重 远程命令执行
CVE- 严重 远程命令执行
CVE- 重要 信息泄露
CVE- 严重 远程命令执行
SMBv1 server是其中的一个服务器协议组件。
Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。
远程攻击者可借助特制的数据包利用该漏洞执行任意代码。
以下版本受到影响：Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT 8.1，Windows 10 Gold，，Windows Server 2016。
1.目前微软已发布补丁MS17-010修复了&永恒之蓝&攻击的系统漏洞，请尽快为电脑安装此补丁，网址为/zh-cn/library/security/MS17-010
对于XP、2003等微软已不再提供安全更新的机器，推荐使用360&NSA武器库免疫工具&检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。
免疫工具下载地址：/nsa/nsatool.exe
2.安装正版、Office软件等。
3.关闭445、137、138、139端口，关闭网络共享；
4.强化网络安全意识，&网络安全就在身边，要时刻提防&：不明链接不要点击，不明文件不要下载&&
5.尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘/U盘／网盘上。
更新不了系统的解决方案，批处理禁用该漏洞可能利用到的端口，全版本通用，自编写，右键管理员启动即可
我写的为了保险起见将漏洞所涉及的端口全部禁用了
蠕虫病毒细节：
病毒payload
蠕虫病毒扫描ip并进行传播
doublepulsar后门安装
方法3：应急脚本
rem 关闭智能卡服务 net stop SCardSvr net stop SCPolicySvc sc config SCardSvr start=disabled sc config SCPolicySvc start=disabled rem 开启服务 net start MpsSvc rem 开机启动 sc config MpsSvc start=auto rem 启用防火墙 netsh advfirewall set allprofiles state on rem 屏蔽端口
netsh advfirewall firewall add rule name=&deny udp 137 & dir=in protocol=udp localport=137 action=block
netsh advfirewall firewall add rule name=&deny tcp 137&P dir=in protocol=tcp localport=137 action=block netsh advfirewall firewall add rule name=&deny udp 138&P dir=in protocol=udp localport=138 action=block netsh advfirewall firewall add rule name=&deny tcp 138&P dir=in protocol=tcp localport=138 action=block netsh advfirewall firewall add rule name=&deny udp 139&P dir=in protocol=udp localport=139 action=block
netsh advfirewall firewall add rule name=&deny tcp 139&P dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name=&deny udp 445&P dir=in protocol=udp localport=445 action=block netsh advfirewall firewall add rule name=&deny tcp 445&P dir=in protocol=tcp localport=445 action=block pause
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】