电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170516)

 

1. 病毒预警

1.1. wannacry

病毒类型:勒索软件

日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为wannacry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-010)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AESRSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行档等类型的档;二是会将自身复制到系统的每个档夹下,并重命名为“@WanaDecryptor@.exe”;三是生成随机IP并发起新的网络攻击。

由于该勒索软件的加密强度大,目前被加密的档还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:

1、在无法判断是否感染该勒索软件的情况下,立即断网,检查计算机主机,修复MS17-010漏洞、关闭445端口。

2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。

3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

5、目前亚信、安天、360、北信源、瑞星、金山、腾讯7家公司已经研发出针对该病毒的最新专杀工具。

亚信专杀下载地址(32)http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

亚信专杀下载地址(64位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

亚信专杀使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

安天专杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

安天应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html

360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune

360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller

北信源公司专杀免疫工具和说明下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205

瑞星免疫工具下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星免疫工具+杀软下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

金山安全免疫工具(最新版,下载后可自动适配用户使用的系统,适配任何个人及企业用户)下载地址: http://pan.baidu.com/s/1o8hqpXC

金山V8+终端安全防护系统免疫工具(最新版,适配金山安全安装此产品的企业级用户)下载地址:http://pan.baidu.com/s/1kVHUlwz

腾讯计算机管家勒索病毒免疫工具和说明下载链接:http://guanjia.qq.com/wannacry/

腾讯计算机管家勒索病毒免疫工具(离线版)下载地址:http://url.cn/496kcwV

腾讯计算机管家勒索病毒免疫工具(在线版)下载地址:http://url.cn/498da3o

腾讯计算机管家管理员助手 下载地址:http://url.cn/499YVsJ命令行:MS_17_010_Scan.exe 192.168.164.128

1.2. Jaff

病毒类型:勒索软件

国外安全专家发现名为Jaff的新恶意软件家族,他们表示目前该恶意软件在通过Necurs僵尸网络使用垃圾邮件传播。在垃圾邮件附件中嵌入Microsoft Word文档作为勒索软件的初始下载器。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关信息

1.3. CryptFile2

病毒类型:勒索软件

国外安全专家发现了该变种,而后由Malware Hunter Team将其命名为CryptoMix.wallet扩展名使得受害者难以分辨自己的档被哪种勒索软件加密,因为该扩展名被用于Dharma / CrysisSanctions

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关信息。

2. 弱点通告

2.1. Microsoft Office远程代码执行漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-0254

受影响系统:Microsoft Office Word 2007 SP3

Microsoft Office Office for Mac 2011

Microsoft Office 2016 for Mac

Microsoft Office Office Web Apps 2010 SP2

Microsoft Office 2016

Microsoft Office Office Word Viewer

Microsoft Office Office Compatibility Pack SP3

Microsoft Office Office Web Apps 2010 SP2

Microsoft Office Office Word Viewer

漏洞描述:Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。

Microsoft Office存在远程代码执行漏洞。攻击者可以通过创建一个特制档,利用该漏洞在目标用户的系统上执行任意代码

用户可参考如下厂商提供的安全补丁以修复该漏洞:

portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/bc365363-f51e-e711-80da-000d3a32fc99 (Links to External Site)

2.2. HP Network Automation身份验证绕过漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-5814

受影响系统:HP Network Automation 9.2*

漏洞描述:HP Network Automation是美国惠普(HP)公司的一套自动化网络配置管理工具。该工具能对分布广泛的多厂商网络设备进行自动化的配置变更、软件更新、合规审计以及跟踪和控制。

HP Network Automation中存在身份验证绕过漏洞。远程攻击者可利用漏洞提升权限。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbgn03740en_us

2.3. IBM WebSphere Cast Iron Solution XML外部实体注入漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2016-9691

受影响系统:IBM WebSphere Cast Iron Solution >=7.0.0<=7.5.0.0

漏洞描述:IBM WebSphere Cast Iron Solution是美国IBM公司的一款基于云计算的解决方案。它能够使企业能够连接其混合的公共云、私有云和内部部署应用程序环境。

IBM WebSphere Cast Iron Solution中存在XML外部实体注入漏洞。远程攻击者可利用该漏洞获取敏感信息或消耗所有可用的存储器资源,造成拒绝服务。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

http://www-01.ibm.com/support/docview.wss?uid=swg21998014

2.4. Oracle MySQL Server远程漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-3600

受影响系统:Oracle MySQL Server <=5.7.17

Oracle MySQL Server <=5.5.54

Oracle MySQL Server <=5.6.35

漏洞描述:Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Server component是其中的服务器组件。

Oracle MySQL中的MySQL Server组件的Client mysqldump子组件中存在安全漏洞。攻击者可利用该漏洞控制组件,影响数据的可用性、完整性和保密性。

厂商已发布了漏洞修复程序,请及时关注更新:

http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

 

1.1. 

1.2. 

3. 安全焦点

3.1. 勒索蠕虫出现变种:WannaCry 2.0 传播速度或更快

勒索病毒继续蔓延,北京市三部门联合发布通知称,有关部门监测发现病毒出现了传播速度可能更快的变种,建议立即进行关注和处置。

514日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0

通知称,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个功能变量名称来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。

512日晚间开始,WannaCry 勒索蠕虫在世界各地迅速传播,目前已经致使全球99个国家和地区超过7.5万台计算机遭遇病毒攻击。黑客将计算机中的资料文档上锁,并要求支付300美金等价的比特币才能解锁档。

同时,随着周一工作日的到来,将会有更多计算机开机,勒索病毒很有可能会卷土重来。

以下是通知全文:

关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知

各有关单位:

有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个功能变量名称来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。

一、请立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为计算机安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。

三、一旦发现中毒机器,立即断网。

四、启用并打开Windows防火墙”,进入“高级设置”,在入站规则里禁用“档和打印机共享”相关规则。关闭UDP135445137138139端口,关闭网络档共享。

五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

六、尽快备份自己计算机中的重要档资料到存储设备上。

七、及时更新操作系统和应用程序到最新的版本。

八、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。九、安装正版操作系统、Office软件等。

3.2. 4款勒索病毒“WannaCry”的衍生变种

515日讯 最近一周,基于 NSA 武器库中“永恒之蓝”黑客工具打造的“Wana Decrypt0r(简称WannaCry)系列勒索软件及其变种,已经对全球成千上万的机构造成了强大的破坏力,欧盟警察机构欧洲刑警组织执行主任罗布·温赖特上周日表示,这次勒索病毒攻击已经危害到150多个国家的20万台计算机。

WannaCry勒索软件攻击获得巨大成功,勒索软件开发者们也由此受到启发并迅速放出自己的“模仿方案”。截至目前,我们总计发现了4种不同的WannaCry衍生变种,其各自拥有不同的开发思路与入侵形式。而更为有趣的是,甚至出现了一款名为WannaCry勒索软件生产器的工具,其允许使用者对锁屏界面的外观与提示文字进行自定义。

下面E安全将与各位读者一同了解这些勒索病毒“WannaCry”的衍生变种到底有何能耐。E安全微信公众号订阅用户可以前往E安全门户网站查看完整的样本分析链接。

DarkoderCrypt0r

在四款WannaCry仿品当中,DarkoderCryptOr最具“进取精神”——其能够对计算机中的档进行了真正的加密。如大家在下图中所见,开发者复制了WannaCry的锁屏设计,并对其中的标题以及比特币收取地址等进行了修改。目前,这款开发中的勒索软件仅能够对受害者桌面上的档进行加密。在进行档加密时,其会为被加密文件名称之后添加.DARKCRY扩展名。而可执行档则将被命名为@DaKryEncryptor@.exe

Aron WanaCrypt0r 2.0 Generator v1.0

Aran wanaCrypt0r 2.0 Generator v1.0是一款有趣的工具,因为其目标在于打造一套可定制化WannaCry勒索软件生成器。此程序允许大家创建一套定制化WannaCry锁屏界面,且开发者能够对界面中的文本、图像以及色彩等搭配进行调整。

这款生成器随后将根据上述定制选项生成一个自定义WannaCryptOr勒索软件可执行档,并允许勒索软件开发者进行散布以用于获取赎金。目前,这款生成器仅允许用户自定义锁屏界面内容并显示对应消息,其尚无法生成自定义的勒索软件可执行档。

Wanna Crypt v2.5

Wanna Crypt v2.5目前尚处于开发初期。

WannaCrypt 4.0

Wanna Crypt v2.5类似,WannaCrypt 4.0同样处于早期开发阶段且尚无法对任何信息进行实际加密。不过之所以将其纳入本篇文章,是因为其拥有一大有趣特征——锁定荧幕中的默认语言为泰语。由于原本的WannaCry并不支持泰语,因此我们猜测这款仿品很可能由泰国开发者所打造。

3.3. 谷歌卡巴斯基等发现勒索病毒幕后黑手或来自朝鲜

据福布斯报导,计算机勒索病毒肆虐全球,谷歌和卡巴斯基安全实验室等多个机构经过研究发现,幕后黑手可能来自朝鲜,线索隐藏在代码中。

谷歌安全研究员Neel Mehta发布推文,将两个恶意软件样本进行对比。其一便是正在肆虐全球的WannaCry勒索病毒,另一段样本出自神秘黑客组织“拉撒路组”(Lazarus Group)之手。有证据显示,拉撒路组与2014年索尼黑客事件以及孟加拉SWIFT银行网络攻击事件有关联,两起案件分别造成索尼多部未上映电影资源和商业信息遭泄露,以及孟加拉中央银行失窃8100万美元。根据多家安全公司的分析,拉撒路组来自朝鲜。

卡巴斯基实验室和网络安全公司Proofpoint的研究员对Mehta提供的对比进行仔细调查。

研究人员发现,WannaCry中的一部分代码与一个名叫Contopee的恶意软件100%一致,而后者正是拉撒组惯用的恶意软件。两个恶意软件使用相同的随机数生成075之间的随机数,用于对劫持数据的加密以及通过混淆避免安全工具的检测。

卡巴斯基实验室称发现同源代码是查找WannaCry起源的最重要线索”。卡巴斯基全球研究和分析团队主管Costin Raiu对福布斯表示,Mehta展示的恶意软件几乎与此前孟加拉银行攻击中出现过的恶意代码一模一样。不过他也表示还需要更多研究才能下结论。

阿联酋网络安全公司创始人Matthieu Suiche认同病毒可能与拉撒路组存在联系,并指出犯罪目标和手法的一致性。

3.4. Windows 10默认浏览器曝新漏洞:可被攻击者窃取cookie与密码数据

安全研究人员 Manuel Caballero 已经在微软 Windows 10 默认的 Edge 浏览器中发现了一个漏洞。攻击者们可利用它来窃取用户计算机上的密码或 cookie 数据,从而未经授权地访问其他网站的账号(比如 Facebook Twitter)。其解释称,漏洞源于 Edge 浏览器“同源策略”(SOP)中的一个问题,而原本这项安全措施是用来防止某个功能变量名称下的数据被另一个功能变量名称所使用。

遗憾的是,微软在部署策略的时候出现了点问题,这也是其曝出的第三个类似漏洞。更糟糕的是,此前发现的两个漏洞,到现在都还没被补上。而据 Caballero 所述,他的方法甚至更快、更直接。

Caballero 指出,与 Google Chrome Mozilla Firefox 等竞争对手相比,微软浏览器“相对刻板”的补丁周期难辞其咎。

Callabero YouTube 上发布了一段该漏洞的概念验证视频,并在博客上详细阐述了其原理。

视频地址:http://v.youku.com/v_show/id_XMjc2MTQyMDAyOA==.html

几天前,谷歌 Project Zero 才曝光了 Windows 10 种发现的某个“糟糕透顶”的漏洞,不过微软已在本月的“补丁星期二”予以修复。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号