今天上班先断网再开电脑可免中毒 专家:开机联网就可能感染

15.05.2017  16:32

周一开机指南

一、安全防范措施

个人用户

1.立即拔掉个人电脑网线断开网络连接,防止个人电脑被病毒感染;

2.立即通过离线方式更新操作系统补丁;

3.立即通过操作系统防火墙关闭本地的445及其他关联端口(135、137、139)的外部网络访问权限;

4.立即通过U盘和移动硬盘做好重要文件备份工作。

企业网络管理员

1.边界交换机、路由器、防火墙以及内网核心主干交换路由等设备禁止双向135/137/139/445端口的TCP连接;

2.更新入侵防御、入侵检测、APT等安全设备漏洞库、开启防御策略;

3.对局域网内设备445及其他关联端口135、137、139进行扫描,发现潜在风险的设备进行安全加固。

二、应急处置

对于已感染的设备,进行以下操作:

1.立即断开已感染设备的网络连接,防止病毒进一步扩散;

2.尝试通过深度文件恢复工具对已被加密文件进行恢复;

3.使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理。

大洋网讯  全球突发的勒索病毒WannaCry仍在肆虐,专家指出,今天周一工作日可能更多电脑感染,建议开机前先断网,备份重要资料并打补丁防病毒。这是记者昨天从蓝盾股份联合广东省公安厅网警总队、中山大学等共同召开WannaCry病毒威胁解读及加固建议的专题研讨会上获悉的。

网警:缴纳赎金不一定能解锁

在会上,广东省公安厅网警总队副总队长蔡旭就本次病毒进行舆情通报:WannaCry目前已波及全球100多个国家与地区,个别医院、政府等行业的关键信息系统受到了沉重打击,如英国有超过40家医院电脑受到大规模攻击后沦陷。我国也有一批高校、企业和个人的电脑系统受到该病毒感染,这些被感染的服务器被加密后,业务延续性和信息安全保障方面会受到较大影响。

蔡旭强调,此次事件恶劣程度虽远超前几年的“熊猫烧香”事件,但也不是想象中那么可怕,只要及时做好预防就可有效避免。对此,他建议,各行各业和广大网民不要恐慌;不信谣、不传谣,不要过多相信网络上出现的防病毒软件;切记不要缴纳赎金,国外已发生过多起缴纳赎金后仍没有解锁的案例。

周一可能更大规模爆发

与会专家指出,“WannaCry”病毒是5月12日晚,也就是上周五开始全球进行大规模攻击,目前已知有100多个国家和地区超过21万的PC终端受害,被攻击者被要求支付比特币解锁。我国的教育网络在也成了本轮攻击的重灾区,攻击造成了部分学校教学网络的瘫痪;5月13日,病毒进一步大面积爆发,如某市车管所被病毒感染后无法工作。这在以前是极少发生的。受感染的电脑被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

与会专家都提醒,由于病毒爆发是周五晚,我国政府部门很多电脑处于关机状态,估计周一开机时会爆发更大的疫情,包括医疗系统、快递公司、石油石化、学校、银行、警察局等众多行业受可能受到影响。

专家:开机联网就可能感染

中山大学网络空间安全研究所所长张方国就WannaCry给出了溯源分析:“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁(MS17-010),无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

他说,国内之前曾多次出现利用445端口传播的蠕虫病毒的案例,因此部分运营商和个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。

技术“小白”咋办?开机前断网

对于普通个人电脑用户、技术“小白”们来说,怎么防毒?网络安全厂商“蓝盾”股份首席技术官杨育斌指出,“如果不确定自己的电脑有没有感染病毒,开机前切记断网,开机后先备份重要文件和资料,然后检查自己的电脑有没有打过补丁,没有的赶紧升级打补丁。

杨育斌谈到,用户需要尽快为电脑安装微软已发布的MS17-010补丁;低版本系统用户尽快升级到高版本系统;所有Windows 服务器、个人电脑,全部使用防火墙过滤或关闭445、135、137、138、139端口,及时关闭网络共享;同时尽快转移电脑重要文件,加强移动安全介质、网盘等软件安装入口管理,预防计算机受到病毒影响。

为了更好地防范各类网络安全事件,他建议用户保持良好的电脑使用习惯,强化网络安全意识,不要点击可疑链接及邮件,遇到问题可及时紧急联系专业网络安全服务商,对校园网及个人终端的漏洞进行全面的核查和紧急补救。

知多D

技术“小白”问答专家

为什么这次高校成为重灾区?

中山大学网络空间安全研究所所长张方国称,各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网,大多没有对445端口做防范处理,这是导致这次高校成为重灾区的原因之一。此外,中国高校内,一些同学为了打局域网游戏,有时需要关闭防火墙,也是此次事件在中国高校内大肆传播的另一原因。

赎金为什么选比特币?

张方国解释,这是由于比特币的匿名性、难以监管及价格大涨。比特币具有便捷、匿名性,可以实现快速全球转账的特征,才被犯罪组织所看中。而监管者难以跟踪或拦截。相比其他方式,利用比特币汇款要“隐秘”的多。

同时,比特币近期的大幅上涨,也是黑客看中的原因,近期受量产减少、比特币ETF的利好推动,比特币一度创下新高。

是否安装了微软补丁就能确保不受到此次病毒的袭击?

蓝盾”股份首席技术官杨育斌指出,为了打消更多用户的顾虑,现在微软再次发出公告,如果用户使用的是全新版本的Windows 10系统,并开启Windows Defender的话,那么就会免疫这些勒索病毒。

通俗地说,究竟什么是Wannacry病毒,什么是“永恒之蓝”?

杨育斌介绍,“永恒之蓝”勒索蠕虫病毒主要攻击方式是445端口,防范重点是开启系统自动更新,打好补丁,开启防火墙关闭445端口。截至今日暂时没有彻底的解决办法,临时的解决方法并不能一劳永逸。

永恒之蓝和之前的熊猫烧香什么区别?

杨育斌介绍,“熊猫烧香”除了正常的通过用户浏览网站从而感染病毒外,还会在局域网中传播,一旦局域网中感染病毒,会在极短的时间内感染数以千台电脑,那些中毒的电脑上会显示“熊猫烧香”的图案。

熊猫烧香”会删除拓展名为gho的文件,还会感染系统的.exe、.com、.f.src、.html.asp文件,让系统自动添加含有病毒的网址,用户一旦打开这些网址就会自动下载病毒。

此次病毒事件是黑客利用NSA黑客武器库中的“永恒之蓝”病毒发起的,该病毒会扫描开放455文件共享端口的Windows机器,用户根本不需要任何操作,只要电脑联网,黑客就能在电脑中植入勒索软件、远程控制木马等恶意程序。同时病毒会将磁盘里的文件加密为.onion后缀,只有支付高额赎金(300美元合计2000元人民币,但只接受比特币付款)才可能解锁,恢复文件。

撰文 信时记者 蒋隽  通讯员 韩炜