首页 > 正文

网络安全预警——关于防范“永恒之蓝”及勒索病毒攻击的通知

发布日期:2019-04-05  


校内单位及校园网用户:

3月以来,Globelmposter勒索病毒及其变种和利用“永恒之蓝”漏洞传播挖矿程序的攻击事件时有发生,腾讯御见威胁情报中心于201938日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新,病毒程序通过U盘、邮件、驱动下载等方式攻击用户电脑和单位服务器,公安网监部门、教育行政主管部门陆续发出安全预警,学校网信办于314日及时发布了安全通报。根据目前网络安全态势研判,学校网信办和信息与教育技术中心已启动蓝色预警预案,于44日开始对校园网数据中心机房内服务器和校园网进行技术防护,扫描安全漏洞,收集分析病毒样本,阻断病毒程序与外网连接通道,升级服务器安全补丁,关闭高危端口。为了避免勒索病毒、“永恒之蓝”病毒对学校网络和业务信息系统以及校园网用户的影响,现将病毒攻击特征、潜在威胁、防范措施和扫描工具等通报如下:

一、病毒传播形势及影响

318日,网安部门监测发现到Globelmposter3.0勒索病毒的新变种4.0在传播,传播方式仍通过3389端口或邮件传播,可对移动磁盘、固定磁盘、网络磁盘文件进行加密,利用微软MS17-010漏洞和利用445端口攻击的“永恒之蓝”病毒已与挖矿程序结合肆意传播,校内已有服务器受挖矿程序感染,造成系统资源被大量占用影响系统正常运行的情况。据信息与教育技术中心技术支持团队研判,“永恒之蓝”的影响可能会继续在没有安全防范的服务器和个人电脑扩散,如果出现“勒索病毒”的变种,将会对学校和师生的数据安全造成严重威胁。

二、病毒原理和防范措施

Globelmposter利用3389端口传播,利用自带密码本破解服务器远程桌面服务(3389端口)口令,如果设置了校外DNS的用户可采用DNS自动获取的方式阻断病毒主体下载,同时查杀病毒,并更新补丁。信息与教育技术中心已采取禁止服务器访问外网等措施阻断病毒主体的下载途径。

“永恒之蓝”是系统级别的漏洞,若操作系统未及时进行补丁修复,均可能被利用。win10系统具有强制性的自动补丁升级功能,而win7XP系统则必须对MS17-010补丁升级并关闭445等相应端口以确保安全。信息与教育技术中心已采取措施对挖矿程序脚本中发现的ppm.abbny.comoom.beahh.comiim.ackng.cominfo.beahh.com vv.beahh.com oo.beahh.cominfo.abbny.com等网址进行了封堵。

三、病毒感染后机器出现的特征和扫描工具

目前校内受感染的机器出现的特征为CPU100%,任务管理器中有大量powershell进程,定时任务被添加随机名异常的定时任务。更多判断特征请参考360网站和腾讯网站对外公布的安全报告。

用户可访问http://info.swufe.edu.cn/services/web/safe.htm下载专用工具,进行扫描检查及相应处理。

四、网络安全蓝色预警预案要求

1、校内单位应及时认领附件中存在安全漏洞的服务器资产,完善备案定级手续,对于无单位认领的,信息与教育技术中心将进行断网处理;

2、校内单位应立即组织技术力量对存在安全漏洞的服务器进行补丁修补和安全防范,特别是对涉及学校重要数据和师生个人信息的系统采取数据备份、加强密码安全强度、加强监测等安全措施,确保数据安全;

3、校园网用户中仍然使用win7xp版本的电脑,应立即进行补丁升级、修改安全密码、关闭445139137138端口等措施,或尽早升级为WIN10操作系统。

4、附件里清单为44日扫描结果,该结果仅作为参考。

5、各单位对服务器检查处置时间截止4817时,届时未处理的,将直接进行关停。

学校网信办将视安全措施落实情况和病毒形势决定是否取消网络安全蓝色预警。对于在预警发布期间未按要求进行安全防范导致安全事件发生甚至造成损失的,学校将依《西南财经大学网络安全责任制实施细则》及相关规定对事件主要负责人、直接责任人追究相应的责任。

如有其他问题,请联系我们028-87092275webmail@swufe.edu.cn

网信办

201945

上一条:关于防范“永恒之蓝”及勒索病毒攻击-修复Windows-MS17-010的操作手册

下一条:网络安全通告——勒索病毒预警

[关闭]