山西省互联网网络安全预警信息通报.pdf

山西省通信管理局 国家计算机网络应急技术处理协调中心山西分中心 2017 年 5 月 15 日 关于重点防范 Windows 操作系统勒索软件攻击的情况公告 关于重点防范 Windows 操作系统勒索软件攻击的情况公告 北京时间 5 月 13 日，互联网上出现针对 Windows 操作系统的勒索软件的攻击案例，勒索软件利用此前披露的Windows SMB 服务漏洞（对应微软漏洞公告：MS17-010）攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物，涉及到国内用户，已经构成较为严重的攻击威胁 一、勒索软件情况 4 月 16 日， 国家计算机网络应急技术处理协调中心 （英文简称为 CNCERT） 主办的 CNVD 发布 《关于加强防范 Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪山西省互联网网络安全预警信息通报 山西省互联网网络安全预警信息通报 主办： 经人“Shadow Brokers”披露的多款涉及 Windows 操作系统SMB 服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警: 表 有可能通过 445 端口发起攻击的漏洞攻击工具 工具名称 主要用途 ETERNALROMANCE SMB 和 NBT 漏洞，对应 MS17-010 漏洞，针对 139 和 445 端口发起攻击， 影响范围:Windows XP, 2003, Vista, 7,Windows 8, 2008, 2008 R2 EMERALDTHREAD SMB 和 NETBIOS 漏洞，对应 MS10-061 漏洞，针对 139 和 4 45 端口，影响范围：Windows XP、Windows 2003 EDUCATEDSCHOLAR SMB 服务漏洞，对应 MS09-050 漏洞，针对 445 端口 ERRATICGOPHER SMBv1 服务漏洞， 针对 445 端口， 影响范围： Windows XP、Windows server 2003， 不影响 windows Vista 及之后的 操作系统 ETERNALBLUE SMBv1、SMBv2 漏洞，对应 MS17-010，针对 445 端口,影响 范围：较广，从 WindowsXP 到 Windows 2012 ETERNALSYNERGY SMBv3 漏洞，对应 MS17-010，针对 445 端口，影响范围： Windows8、Server2012 ETERNALCHAMPION SMB v2 漏洞，针对 445 端口 综合 CNVD 技术组成员单位奇虎 360 公司、安天公司等单位已获知的样本情况和分析结果，该勒索软件在传播时基于 445 端口并利用 SMB 服务漏洞（MS17-010），总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币而用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为“.WNCRY”目前，安全业界暂未能有效破除该勒索软的恶意加密行为 图 勒索软件界面图（来源：安天公司） 图 用户文件被加密（来源：安天公司） 二、应急处置措施 根据 CNVD 秘书处普查的结果，互联网上共有 900 余万台主机 IP 暴露 445 端口（端口开放），而中国大陆地区主机 IP 有 300 余万台CNCERT 已经着手对勒索软件及相关网络攻击活动进行监测，目前共发现有向全球 70 多万个目标直接发起的针对 MS17-010 漏洞的攻击尝试建议广大用户及时更新 Windows 已发布的安全补丁，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作： （一）关闭 445 等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口； （二） 加强对 445 等端口 （其他关联端口如: 135、 137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为； （三）由于微软对部分操作系统停止安全更新，建议对Window XP 和 Windows server 2003 主机进行排查（MS17-010更新已不支持），使用替代操作系统。

（四）做好信息系统业务和个人数据的备份 后续将密切监测和关注该勒索软件对我省党政机关和重要行业单位以及高等院校的攻击情况，同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范 附：参考链接 XP 和部分服务器版特别补丁） （ CNVD安全公告） Windows 操作系统勒索软件“WannaCry”处置手册） 。