一、勒索病毒-永恒之蓝现状简介

201751220时左右,国家网络与信息安全信息中心紧急通报:新型病毒从512日起在全球范围传播扩散,已影响到包括我国用户在内的多个国家的用户。该勒索病毒利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。勒索病毒感染用户计算机后,将对计算机中的文档、图片等实施高强度加密,并向用户勒索赎金。

                           wKiom1kYWHPy1XeuAADoo0GrtO4765.png-wh_50  

国内多所院校和企业出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

国家网络与信息安全中心连接:

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

 

二、中毒原因分析

1135/137/138/139/445这些常用端口以及共享服务没有关闭;

端口简介:

135端口:135端口就是RPC通信中的桥梁,该端口被***者采用了一种DCOM技术,可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会自动调用目标主机中的RPC服务,而RPC服务将自动询问目标主机中的135端口,并且获取当前有哪些端口可以被用来通信。

 

137端口:137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。