校园网用户:
2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,据中国高等教育学会教育信息化分会网络信息安全工作组报告,许多学校的电脑感染勒索病毒,重要文件被加密,类似下图所示:
图1勒索界面
系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件均被加密,被加密的文件后缀名被统一修改为“.WNCRY”。
图2加密后的文件名
经过初步调查,此类勒索病毒利用了基于445端口传播扩散的SMB漏洞,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。
目前学校信息化建设与管理中心没有接到师生反应出现此类情况,但请广大师生务必做好防范措施。
一、个人防范措施:
1.关闭计算机445端口。(操作方法附后)
2.计算机安装最新的安全补丁。
微软已发布补丁MS17-010修复“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010
重要提醒:安全补丁升级可能会出现兼容性问题,请大家在升级前一定要做好备份工作,备份文件异地保存,不能与计算机连接。
由于微软已经不再为windows xp, windows 2003系统提供系统更新,建议仍在使用的用户尽快升级到 window 7/windows 10,或 windows 2008/2012/2016操作系统。安装正版操作系统、软件,可至学校kms.suda.edu.cn下载。
3.定期备份。今后一定要定期备份自己电脑中的重要文件资料!!备份至移动硬盘、U盘等设备后,一定要脱机保存备份载体。
二、检查及关闭计算机445端口方法说明
1.检查电脑是否开放 445 SMB 服务端口。
1)打开“开始”按钮,点击“运行”,输入cmd,点击确定
2)输入命令:netstat -an 回车
3)查看结果中是否有 445 端口
2. 如果发现 445 端口开放,可及时利用系统防火墙封闭端口。操作步骤如下:
1)Win7、Win8、Win10的处理流程
第一步:打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
第二步:选择启动防火墙,并点击确定
第三步:点击高级设置
第四步:点击入站规则,新建规则
第五步:选择端口,下一步
第六步:特定本地端口,输入445,下一步
第七步:选择阻止连接,下一步
第八步:配置文件全选,下一步
第九步:名称,可以任意输入,完成即可。
2)XP系统的处理流程
第一步:依次打开控制面板—>安全中心—>Windows防火墙—>选择启用。
第二步:通过注册表关闭445端口,单击“开始”—>“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
第三步:找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”—>“DWORD值”。
第四步:将DWORD值命名为“SMBDeviceEnabled”,值修改为0。
第五步:重启机器,查看445端口连接已经没有了。