5月12日晚间起,一款勒索软件在全球较大范围内传播,国内教育、能源等多个行业计算机受到了勒索软件的感染,受感染系统的磁盘文件会被病毒加密,提示用户支付高额赎金才能解密恢复文件。如果在规定时间内不支付,文件数据就会被“撕票”,同时系统应用文件的破坏也会直接导致业务中断。
本次事件是由不法分子利用上月泄露的“NSA”黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击进行勒索的恶性事件,不法分子构造的恶意代码会扫描攻击存在漏洞的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入恶意代码加密用户数据实施数字勒索。
就在刚才,河南省通信管理局向大河报·大河客户端记者发布了我省在这次电脑病毒爆发中受感染的情况,并提出了相应的预防措施。
一、河南省遭受感染情况
据国家互联网应急中心网络安全监测平台监测发现,截至5月14日20点:
河南省遭受漏洞尝试攻击的(检测到有遭到攻击行为,尚不清楚是否感染)IP有540个(其中安阳6个、鹤壁1个、焦作7个、开封75个、洛阳17个、漯河11个、南阳21个、平顶山30个、濮阳42个、三门峡67个、商丘27个、新乡11个、信阳32个、许昌34、郑州123个、周口11个、驻马店25个)。
河南省已感染病毒且正在发起漏洞尝试攻击的IP有3755个(其中安阳4个、焦作5个、开封1456个、洛阳563个、漯河105个、南阳2个、平顶山7个、三门峡155个、商丘1个、信阳2个、许昌3个、郑州399个、驻马店1053个)。
河南省疑似感染蠕虫病毒的IP有141个(其中安阳4个、焦作6个、开封4个、洛阳15个、漯河1个、南阳10个、平顶山6个、濮阳3个、三门峡2个、商丘4个、新乡3个、信阳5个、许昌7个、郑州63个、周口5个、驻马店3个)。
二、国家互联网应急中心河南分中心(河南互联网应急中心)开展的工作
一)紧急进行预警通报5月12日晚间Wannacry恶意蠕虫病毒爆发后,河南互联网应急中心迅速通过QQ群、微信群、微信公众号等多种途径发布预警公告,紧急通知有关单位(主要是教育网)注意加强防范。
二)积极监测开展应急处置河南互联网应急中心针对发起Wannacry恶意蠕虫攻击的IP地址进行定位,要求相关企业第一时间断开涉事IP地址接入,通知IP使用者进行处置。对已被感染的用户,区分IP所属企业后,由相关企业联系IP使用者进行紧急处置。
三)加强防范,防止感染范围进一步扩大河南互联网应急中心联系多家网络安全应急服务技术支撑单位开展Wannacry恶意蠕虫病毒的分析,汇总多家厂商的检测、查杀工具,制定了感染用户处置指导意见,通过网站、邮件、QQ群等多种途径进行发布,指导用户有效处置感染计算机,提升用户安全意识和处置水平。
四)加强协同,共同应对突发事件及时向省公安厅网安总队共享监测数据,双方共同发力,共同做好恶意蠕虫病毒防范和处置工作。
五)加固安全策略,提高防御能力针对省通信管理局的网络情况,积极联系天融信公司,根据其提供的防火墙防范加固文档,对我局网络防火墙增加策略配置,阻断445、135、137、138、139等端口的外部访问,防范外部攻击。
三、网络安全建议
针对多发的网络安全事件,建议社会各方面要高度重视网络安全问题,及时安装安全防护软件,及时升级操作系统和各种应用的安全补丁,设置高安全强度口令并定期更换,不要下载安装来路不明的应用软件,对特别重要的数据采取备份措施等。针对此次恶意蠕虫事件,建议广大用户及时更新Windows已发布的安全补丁更新,同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作:
一)关闭445等端口(其他关联端口如:135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口;二)加强对445等端口(其他关联端口如:135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;三)及时更新操作系统补丁;四)安装并及时更新杀毒软件;五)不要轻易打开来源不明的电子邮件;六)定期在不同的存储介质上备份信息系统业务和个人数据。河南互联网应急中心后续将密切监测和关注该勒索软件对我省党政机关和重要行业单位以及高等院校的攻击情况,同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。
《“勒索软件”河南分布地图发布你的电脑被攻击了吗?》相关参考资料:
勒索软件攻击、勒索攻击、勒索软件的攻击、河南工业分布、勒索软件window攻击、勒索软件攻击潮、电脑勒索、河南新华电脑学院、电脑中毒 勒索
