中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南

中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南

勒索病毒在全球蔓延,台灣有許多網友傳出災情。最早發現的英國多家醫院因此癱瘓,俄國、西班牙、日本、台灣等地也正遭受猛烈攻擊,全球至少99國受到影響。而在中國,教育網路則成為重災戶,許多教育單位都業務停擺。更慘的是,連政府單位也中招,包括北京、上海、江蘇、天津等多地的出入境、派出所等政府單位也疑似遭遇了病毒襲擊。

由於這次的勒索病毒會利用445 Port入侵,而中國的校園網路也使用445 Port,因此成為首當其衝的重災戶。許多學校的學生也都反映自己的電腦遭受病毒攻擊,文件被加密。由於透過校園網路傳播,影響十分廣泛。

不過除了校園網路外,今天陸續在微博上有用戶反映,包括北京、上海、江蘇、天津等多地的出入境、派出所等單位也疑似遭遇了病毒襲擊。因此很多民眾原本要到這些地方去辦理業務的,全都變成在當地枯等。有人抱怨在大廳等候了半個小時,十一個接待窗口沒有叫過一個號碼。

至於為什麼傳出災情的都是入出境管理局?猜測可能是因為今天是週六,大多數機關並沒有開放的緣故。

中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南

 

不過,照理來講中國的政府機關應該很安全的才對。因為他們在2014年就已經公告所有的公家機關從當時開始禁止採購Windows 8,之後將全面使用中國的桌面系統。而這個禁令至今仍然沒有解除。微軟甚至為了重回中國市場,在今年還傳出要針對中國打造中國公家單位可以用的「特製版Windows 10」

因此,如果各地區機關落實政策的話,其實應該都很安全才對。除非...從禁令下來之後,公家機關就再也不更新系統,保持使用Windows 7或是Windows XP。

總之,由於災情影響嚴重,中國的國家網路應變中心也緊急發佈了公告,說明遭到勒索軟體攻擊的電腦該如何應變:

網路上出現針對Windows作業系統的勒索軟體工具的攻擊案例,勒索軟體工具利用之前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向用戶進行滲透傳播,,已經構成較為嚴重的攻擊威脅。

 

一、勒索軟體工具情況 

綜合CNVD技術組成員單位奇虎360公司、安天公司等單位已獲知的樣本情況和分析結果,該勒索軟體工具在傳播時基於445 Port並利用SMB服務漏洞 (MS17-010),當用戶主機系統被該勒索軟體工具入侵後,彈出如下勒索對話框,提示勒索目的並向用戶索要比特幣。

中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南

而用戶主機上的重要資料文件,如:照片、圖片、文件、壓縮檔、音頻、影片、可執行程式等多種類型的文件,都被惡意加密且副檔名統一修改為 「WNCRY」。

目前,資安業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟體工具滲透,只能透過重裝作業系統的方式來解除勒索行為,但用戶重要資料文件不能直接恢復。

二、應急處置措施       

建議即時更新 Windows已發佈的安全更新,同時在內部網路區域、主機資產、資料備份方面做好如下工作:

(一)關閉445等端口(其他關聯端口如: 135、137、139)的外部網路訪問權限,在伺服器上關閉不必要的上述服務端口;

(二)加強對445等端口(其他關聯端口如: 135、137、139)的內部網路區域活動審查,即時發現非授權行為或潛在的攻擊行為;

(三)由於微軟對部分作業系統停止安全更新,建議對Window XP和Windows server 2003主機進行檢查(MS17-010更新已不支援),使用替代作業系統。

(四)做好個人資料的備份。

 

資料來源:IT之家

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則