要想说清楚5月12日在部分高校爆发的勒索比特币的病毒,还要从2017年4月14日NSA旗下黑客团队方程式组织(Equation Group)部分黑客武器被影子经纪(Shadow Brokers)组织公开外泄说起。那次外泄的黑客武器中,利用微软windows操作系统的SMB网络协议漏洞,可以远程攻破全球约70%的Windows计算机。好在微软公司在4月份这些漏洞利用工具外泄之前,提前得到消息,并在2017年3月份提前发布了MS17-010等补丁,避免了全球安装微软windows操作系统计算机的一次全军覆灭。
不过,全球仍然有大量计算机没有安装MS17-010等补丁,并且未安装有效的安全防护软件,导致利用这些SMB漏洞的病毒肆意扩散,感染了国内高校众多计算机无辜受害。
SMB是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源,用于在计算机之间共享文件、打印机、串口和邮槽等。我们平时使用的网络共享功能,就是通过SMB协议在445网络端口实现的。
5月12日在各高校爆发的勒索比特币蠕虫病毒的传播,利用的就是影子经纪(Shadow Brokers)组织公开的“永恒之蓝”(EternalBlue)黑客工具所利用的SMBv1和SMBv2漏洞。在2017年4月14日,“永恒之蓝”利用的SMB漏洞曝光后,勒索比特币蠕虫病毒及时添加了利用SMB漏洞进行网络自动传播感染的这种方式,从而导致近期勒索比特币蠕虫病毒的大爆发。
勒索比特币的蠕虫病毒自身具备自动扩散功能,它通过自动生成IP地址,对联入网络的计算机的445端口进行自动扫描,只要暴露在网络上的计算机,且445端口未防护并且未安装补丁的,就会被勒索蠕虫病毒自动扫描发现,之后蠕虫病毒即可利用445端口的SMB协议漏洞利用工具,马上入侵感染这台计算机。因此,造成短时间内大量高校的大量计算机被感染勒索蠕虫病毒。
对于这款病毒的防范措施,个人计算机最简单的防范方法有两种。一是打开微软的防火墙,在“控制面板”的“windows防火墙”中,点击“打开或关闭windows防火墙”,点击“启用windows防火墙”中的“组止所有传入连接”。这样,可通过windows防火墙关闭你自己计算机的445端口和其他所有网络端口,使勒索蠕虫病毒无法扫描到你的445端口,当然也就无法扩散到你的计算机了。二是抓紧升级微软补丁,或者从微软网站及时下载安装MS17-010补丁,或者及时运行微软的补丁自动更新,或者采用第三方杀毒软件或安全软件,及时更新MS17-010等补丁。
对于校园网络管理人员,应该及时配置校园网网络边界设备以及校园网内部的网络设备,通过添加访问控制列表规则或者网络安全防护规则,阻止对任意目标IP地址且目标端口为445端口的网络数据包的传播,从而阻止病毒从外网传入内网,同时对病毒在校园网内网的传播起到部分拦截作用。