阿里安全部专家：勒索事件蓄谋已久 需提高安全意识

新浪科技讯 5月13日晚间消息，自本周五起，一起大规模勒索软件攻击迅速波及了全球近100个国家，目前至少7.5万台计算机被感染。而在中国，一些高校的校园网用户、甚至加油站、公安、政府机构等也受到影响。

针对此次勒索软件攻击，阿里安全部安全专家孙旭东向新浪科技表示，此次勒索软件的主角“WannaCry”，利用美国国家安全局黑客武器库泄露的“永恒之蓝”发起病毒攻击。而实际上，微软已经在今年三月份发布了相关漏洞MS17-010的补丁，但由于用户没有及时安装补丁导致该病毒寻找开放端口致使批量感染，最终大规模扩散。

除了用户和企业自身的防范意识不够之外，孙旭东还表示，从用户被攻击后的窗口既有中文也有英文来看，此次攻击应该蓄谋已久。

而用户电脑被攻击之后，勒索软件将受感染电脑里的文件使用AES-128算法加密，感染后的文件扩展名会变为。UIWIX，。WNCRY扩展名，需要解密秘钥才可以还原文件。在文件被加密的同时，会弹出一个名为Wanna Decryptor 2.0的弹出窗口，要求支付价值300美元的比特币作为赎金，否则文件会被销毁。

不过他建议中招的用户也不要急着支付赎金，思考下是否有备用数据/快照。即便支付赎金也不一定能解锁，因为攻击者也不一定知道是哪台电脑支付了赎金。

孙旭东表示，此事件暴露了我国用户甚至企业、政府机构在网络安全意识上的不足，虽然此次病毒目前还没有办法完全解决，但也可以通过一些措施预防：做好补丁的升级；使用第三方的防病毒软件，及时进行病毒库的更新；邮件、即时通信、文件等不确定安全性的前提下不要打开，先进行杀毒或在虚拟机里进行测试，这样可以避免很大的风险。

以下为阿里安全部方面提供的应急解决办法：

应急处置方法

1、防火墙屏蔽445端口

2、利用 Windows Update 进行系统更新

3、关闭 SMBv1 服务

适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于客户端操作系统：

打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。重启系统。

对于服务器操作系统：

打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。重启系统。

适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注册表

注册表路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

新建项︰ SMB1，值0（DWORD）

重新启动计算机

最后提醒大家，重要的数据备份，备份，再备份。重要的事情说三遍！

本文转自d1net（转载）

医院成黑客勒索重灾区 阿里云表示：愿为医疗机构提供安全公益排查支持 看到网上的新闻报告后，阿里云安全团队的工程师非常愤怒黑客的行为。勒索软件很难提前预估目标。降低或者尽可能避免网络威胁需要在安全布局上早做准备，防患于未然。
医院成黑客勒索重灾区，阿里云表示：愿为医疗机构提供安全公益排查支持 在《实习医生格蕾》最新十四季的第九集中，格蕾斯隆纪念医院遭遇黑客入侵，要求医院支付巨额比特币，否则医院各种系统都被黑，不能使用。 不料，转眼类似的事情就在中国上演。近日有媒体报道国内湖南、上海两地有医院系统被入侵，黑客要求支付比特币才能恢复正常。
CNNVD关于WannaCry勒索软件攻击事件的分析报告 本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告，一款名为“WannaCry”（也称WannaCrpt、WannaCrpt0r、Wcrypt、WCRY）的勒索软件在全球范围内爆发，造成极大影响。