主页 > imtoken钱包下载国际版 > 提示：比特币勒索软件蠕虫爆发及修复建议

提示：比特币勒索软件蠕虫爆发及修复建议

imtoken钱包下载国际版 2023-02-03 06:47:11

屏幕滑动，比特币勒索软件蠕虫

活动背景

5 月 12 日晚，WannaCry 蠕虫病毒在全球爆发。据BBC、CNN等媒体报道比特币病毒勒索事件，恶意攻击者利用NSA（美国国家安全局）泄露的Windows 0day漏洞利用工具对99个国家进行了超过75000次攻击。

什么是比特币勒索软件蠕虫？

本次攻击的始作俑者是一款名为“WannaCry”（中文名：想哭）的勒索软件，具有加密功能，利用Windows 445端口的安全漏洞潜入电脑，攻击多个文件类型加密并且添加了后缀（.onion）以使用户无法打开它。用户的计算机存在文档被加密的情况。攻击者声称需要支付比特币才能解锁，如下图（图片来自网络）：

国内高校网络系统成为感染重灾区

事件影响

这次 WannaCry 攻击，被感染的机器已经被感染了六个小时，需要支付大约 300 美元的赎金，然后每隔几个小时赎金就会上涨。现已遭到攻击的英国 NHS（国民健康服务）系统中有超过三分之一已取消所有门诊预约，并建议尽可能避免前往急诊室。

攻击还包括西班牙电信公司 Telefónica、俄罗斯内政部、联邦快递等。

国内高校网络系统成为感染重灾区。据相关机构统计，国内每天有数万台机器受到该蠕虫的攻击，被黑的高年级学生的毕业论文被加密，无法打开，并被勒索赎金。以下为全球受灾地区分布图（图片来自网络）：

腾讯云安全团队紧急调查云端用户

目前已知受影响的Windows版本包括但不限于（目前有大量Windows服务操作系统版本受到影响）：

Windows NT

Windows 2000

Windows XP

Windows 2003

Windows Vista

Windows 7

比特币病毒勒索事件

Windows 8

Windows 2008

Windows 2008 R2

Windows Server 2012 SP0

为保障您在腾讯云的业务安全，请及时关注此漏洞并采取相应措施。安全整改措施、风险描述及修复方案如下：

[风险等级]

高风险

[漏洞风险]

黑客可以通过已发布的工具远程攻击服务器。

[影响服务]

比特币病毒勒索事件

主要影响SMB和RDP服务

[漏洞验证]

判断服务器是否对外启用了137、139、445端口

测试方法：在服务器命令行窗口执行netstat -an，查看对应的对应是否打开，也可以访问端口扫描-站长工具（输入IP，填137,139,445,3389）下面判断服务端口是否对外开放。注意：rdp是远程桌面服务，不限于3389端口。如果你的windows远程桌面使用其他端口，也会受到影响。

[漏洞修复建议]

1、推荐解决方案：更新官方补丁

到目前为止，方程组使用的漏洞大部分都是官方发布的相关补丁，强烈建议您更新相关补丁。攻击工具对应的补丁列表如下：

工具名称-解决方案

“永恒之蓝”由 MS17-010 寻址”

EmeraldThread“由 MS10-061 寻址

比特币病毒勒索事件

“EternalChampion”由 CVE-2017-0146 和 CVE-2017-0147 解决“ErraticGopher”在 Windows Vista 发布之前解决“EsikmoRoll”由 MS14-068 解决

MS17-010 致词的“永恒浪漫”

EducatedScholar”由 MS09-050 发表

MS17-010 提出的“EternalSynergy”

MS08-067 寻址的“EclipsedWing”

腾讯云安全团队于 5 月 13 日凌晨对云上用户进行了紧急调查，并连夜进行了分析。提取病毒和木马样本，进行特征对比和入侵原因分析，发现大量受害主机可能因未能及时安装Windows更新补丁而被攻击者入侵，从而使系统迅速被感染病毒和数据被加密。对此比特币病毒勒索事件，腾讯云安全团队提供了以下解决方案：

一、腾讯云用户修复建议：

对于之前受到影响的用户，建议备份重要的未加密数据并进行重装工作；

二、对于使用非腾讯云官方Windows镜像的用户，建议采取以下措施缓解：

1>在安全组策略中，查看你名下的所有Windows云主机是否关闭了对外访问137、139、445服务端口，建议对外访问这样禁止高风险港口。详细维修请参考以下链接：

比特币病毒勒索事件