中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南

作者 | 發布日期 2017 年 05 月 14 日 0:26 | 分類 Windows , 中國觀察 , 網路 follow us in feedly

勒索病毒在全球蔓延,台灣有許多網友傳出災情。最早發現的英國多家醫院因此癱瘓,俄國、西班牙、日本、台灣等地也正遭受猛烈攻擊,全球至少 99 國受到影響。而在中國,教育網路則成為重災戶,許多教育單位都業務停擺。更慘的是,連政府單位也中招,包括北京、上海、江蘇、天津等多地的出入境、派出所等政府單位也疑似遭遇了病毒襲擊。




由於這次的勒索病毒會利用 445 Port 入侵,而中國的校園網路也使用 445 Port,因此成為首當其衝的重災戶。許多學校的學生也都反映自己的電腦遭受病毒攻擊,文件被加密。由於透過校園網路傳播,影響十分廣泛。

不過除了校園網路外,今天陸續在微博上有用戶反映,包括北京、上海、江蘇、天津等多地的出入境、派出所等單位也疑似遭遇了病毒襲擊。因此很多民眾原本要到這些地方去辦理業務的,全都變成在當地枯等。有人抱怨在大廳等候了半個小時,11 個接待窗口沒有叫過一個號碼。

至於為什麼傳出災情的都是入出境管理局?猜測可能是因為今天是週六,大多數機關並沒有開放的緣故。

不過,照理來講中國的政府機關應該很安全的才對。因為他們在 2014 年就已經公告所有的公家機關從當時開始禁止採購 Windows 8,之後將全面使用中國的桌面系統。而這個禁令至今仍然沒有解除。微軟甚至為了重回中國市場,在今年還傳出要針對中國打造中國公家單位可以用的「特製版 Windows 10」

因此,如果各地區機關落實政策的話,其實應該都很安全才對。除非…從禁令下來之後,公家機關就再也不更新系統,保持使用 Windows 7 或是 Windows XP。

總之,由於災情影響嚴重,中國的國家網路應變中心也緊急發佈了公告,說明遭到勒索軟體攻擊的電腦該如何應變:

網路上出現針對 Windows 作業系統的勒索軟體工具的攻擊案例,勒索軟體工具利用之前披露的 Windows SMB 服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向用戶進行滲透傳播,,已經構成較為嚴重的攻擊威脅。

一、勒索軟體工具情況 

綜合 CNVD 技術組成員單位奇虎 360公司、安天公司等單位已獲知的樣本情況和分析結果,該勒索軟體工具在傳播時基於 445 Port 並利用 SMB 服務漏洞(MS17-010),當用戶主機系統被該勒索軟體工具入侵後,彈出如下勒索對話框,提示勒索目的並向用戶索要比特幣。

而用戶主機上的重要資料文件,如:照片、圖片、文件、壓縮檔、音頻、影片、可執行程式等多種類型的文件,都被惡意加密且副檔名統一修改為 「WNCRY」。

目前,資安業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟體工具滲透,只能透過重裝作業系統的方式來解除勒索行為,但用戶重要資料文件不能直接恢復。

二、應急處置措施  

建議即時更新 Windows 已發佈的安全更新,同時在內部網路區域、主機資產、資料備份方面做好如下工作:

(一)關閉 445 等端口(其他關聯端口如: 135、137、139)的外部網路訪問權限,在伺服器上關閉不必要的上述服務端口;

(二)加強對 445 等端口(其他關聯端口如: 135、137、139)的內部網路區域活動審查,即時發現非授權行為或潛在的攻擊行為;

(三)由於微軟對部分作業系統停止安全更新,建議對 Window XP 和 Windows server 2003 主機進行檢查(MS17-010 更新已不支援),使用替代作業系統。

(四)做好個人資料的備份。

(本文由 T客邦 授權使用) 

關鍵字: