信息來源:CNCERT
在Wannacry蠕蟲事件發(fā)生之后,CNCERT對“永恒之藍(lán)”SMB漏洞攻擊進(jìn)行了持續(xù)監(jiān)測。在Wannacry蠕蟲傳播的初期,發(fā)起SMB漏洞攻擊嘗試的主機(jī)數(shù)量(很可能已感染蠕蟲)呈現(xiàn)下降趨勢,而在最近幾日,發(fā)起SMB漏洞攻擊嘗試的主機(jī)數(shù)量又出現(xiàn)了明顯上升的趨勢。現(xiàn)將有關(guān)情況通報如下:
綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果,通過SMB漏洞傳播的蠕蟲病毒中,除具備勒索軟件功能的變種外,還有一些變種具備遠(yuǎn)程控制功能但沒有勒索軟件功能,而感染了后者的用戶一般不易覺察,難以及時采取防護(hù)和處置措施,因此SMB漏洞攻擊次數(shù)上升可能標(biāo)志著出現(xiàn)新的蠕蟲變種依然在默默傳播,我國互聯(lián)網(wǎng)安全仍然面臨著巨大風(fēng)險。CNCERT再次提醒廣大互聯(lián)網(wǎng)用戶及時做好應(yīng)急防護(hù)措施,詳細(xì)方法見CNCERT于5月30日發(fā)布的《關(guān)于防范Windows操作系統(tǒng)勒索軟件Wannacry的情況通報》(http://www.cert.org.cn/publish/main/8/2017/20170513170143329476057/20170513170143329476057_.html)。
在此提醒廣大用戶及時采取如下方法進(jìn)行自查:
1、在以下目錄出現(xiàn)如下文件之一:
c:windowsmssecsvc.exe
c:windowstasksche.exe
c:windowsqeriuwjhrf
c:program filesmicrosoft updatesupdateinstaller
c:program filesmicrosoft updatessvchost.exe
c:program filesmicrosoft updatestorunzip.exe
2、在磁盤任意位置出現(xiàn)以下七個文件之一:
architouch.inconfig.xml
doublepulsar.inconfig.xml
eternalblue.inconfig.xml
eternalchampion.inconfig.xml
eternalromance.inconfig.xml
eternalsynergy.inconfig.xml
smbtouch.inconfig.xml
3、利用進(jìn)程監(jiān)視工具,發(fā)現(xiàn)名為tasksche.exe的進(jìn)程。
4、在注冊表中搜索“EternalRocks”關(guān)鍵字。
若主機(jī)中出現(xiàn)上述情況之一,即可判斷當(dāng)前系統(tǒng)已被蠕蟲病毒感染。
CNCERT后續(xù)將密切監(jiān)測和關(guān)注該勒索軟件對境內(nèi)黨政機(jī)關(guān)和重要行業(yè)單位以及高等院校的攻擊情況,同時聯(lián)合安全業(yè)界對有可能出現(xiàn)的新的攻擊傳播手段、惡意樣本變種進(jìn)行跟蹤防范。請國內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援,請聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。