尊敬的新網用戶�,您好:
在Wannacry蠕蟲事件發(fā)生之后,國家互聯網應急中心(CNCERT)對“永恒之藍”SMB漏洞攻擊進行了持續(xù)監(jiān)測�。在Wannacry蠕蟲傳播的初期,發(fā)起SMB漏洞攻擊嘗試的主機數量(很可能已感染蠕蟲)呈現下降趨勢��,而在最近幾日����,發(fā)起SMB漏洞攻擊嘗試的主機數量又出現了明顯上升的趨勢,我司現將有關情況通報如下����,請廣大云主機���、租用托管客戶關注:
一��、監(jiān)測情況
綜合CNCERT和國內網絡安全企業(yè)已獲知的樣本情況和分析結果�����,通過SMB漏洞傳播的蠕蟲病毒中����,除具備勒索軟件功能的變種外,還有一些變種具備遠程控制功能但沒有勒索軟件功能���,而感染了后者的用戶一般不易覺察�,難以及時采取防護和處置措施���,因此SMB漏洞攻擊次數上升可能標志著出現新的蠕蟲變種依然在默默傳播����,我國互聯網安全仍然面臨著巨大風險�����。CNCERT再次提醒廣大互聯網用戶及時做好應急防護措施�,詳細方法見CNCERT于5月13日發(fā)布的《關于防范 Windows 操作系統(tǒng)勒索軟件Wannacry的情況通報》
(https://www.cert.org.cn/publish/main/8/2017/20170513170143329476057/20170513170143329476057_.html)。
二����、自查方法
在此提醒廣大用戶及時采取如下方法進行自查:
1、在以下目錄出現如下文件之一:
c:\\windows\\mssecsvc.exe
c:\\windows\\tasksche.exe
c:\\windows\\qeriuwjhrf
c:\\program files\\microsoft updates\\updateinstaller
c:\\program files\\microsoft updates\\svchost.exe
c:\\program files\\microsoft updates\\torunzip.exe
2��、在磁盤任意位置出現以下七個文件之一:
architouch.inconfig.xml
doublepulsar.inconfig.xml
eternalblue.inconfig.xml
eternalchampion.inconfig.xml
eternalromance.inconfig.xml
eternalsynergy.inconfig.xml
smbtouch.inconfig.xml
3�、利用進程監(jiān)視工具,發(fā)現名為 tasksche.exe 的進程��。
4、在注冊表中搜索“EternalRocks”關鍵字�����。
若主機中出現上述情況之一����,即可判斷當前系統(tǒng)已被蠕蟲病毒感染。
三��、新網提供檢查腳本及處理建議:
您可以點擊“此處”下載(下載到本地后修改文件名為jiance.bat )并在云主機系統(tǒng)中任一目錄運行該自查腳本����。
一旦發(fā)現系統(tǒng)已感染蠕蟲病毒,建議您:
1�、備份重要數據;
2����、重置系統(tǒng),并立即更新相關補丁�����,相關補丁請參考:
|
漏洞名稱
|
影響版本
|
補丁下載鏈接
|
|
永恒之藍
|
Windows全版本
|
https://www.catalog.update.microsoft.com/search.aspx?q=4012598
|
|
Eternalsynergy
|
Windows 8
|
|
Windows 2012
|
|
Eternalromance
|
Windows XP
|
|
Vista
|
|
Windows7
|
|
Windows 2003
|
|
Windows 2008
|
|
EternalChampion
|
Windows全版本
|
|
Educatedscholar
|
Vista
|
https://www.catalog.update.microsoft.com/Search.aspx?q=975517
|
|
Vista SP1
|
|
Vista SP2
|
|
Windows 2008
|
|
Windows 2008 SP2
|
|
Emeraldthread
|
Windows XP
|
https://www.catalog.update.microsoft.com/Search.aspx?q=2347290
|
|
Windows 2003
|
|
Vista
|
|
2008
|
|
Windows7
|
|
2008 R2
|
|
Eclipsedwing
|
Windows XP
|
https://www.catalog.update.microsoft.com/Search.aspx?q=958644
|
|
Windows 2003
|
|
Windows 2008
|
針對上述SMB等協(xié)議漏洞及攻擊工具的相關建議如下:
(1)及時更新和安裝Windows已發(fā)布的安全補丁;
(2)關閉135��、137、139���、445等端口的外部網絡訪問權限���,在主機上關閉不必要的上述服務端口;
(3)加強對135、137�����、139�����、445等端口的內部網絡區(qū)域訪問審計����,及時發(fā)現非授權行為或潛在的攻擊行為;
(4)由于微軟對部分操作系統(tǒng)停止對Window XP和Windows server 2003的安全更新,建議對這兩類操作系統(tǒng)主機重點進行排查�。針對上述漏洞,Window XP和Windows Server 2003用戶以及其他無法直接使用Windows自動更新功能的用戶可根據Windows系統(tǒng)和版本自行從微軟官網(見上述各個漏洞工具描述中提供的補丁下載地址鏈接)下載補丁文件并安裝���。
另:新網已對虛擬主機�、馳云服務器進行了妥善的安全防護�����,確保不會受到此次蠕蟲病毒的影響,請廣大客戶放心��。
商品已成功加入購物車