文章摘要： 基于SMB文件共享傳播的蠕蟲病毒攻擊開始了大規(guī)模傳播，5月12日晚上20時(shí)左右，…

由于一帶一路高峰論壇明天在北京召開，這是今年中國(guó)最大的外交事件，29個(gè)國(guó)家的國(guó)家元首或政府首腦以及來(lái)自130多個(gè)國(guó)家的1500名代表將出席。恰在此時(shí)，基于SMB文件共享傳播的蠕蟲病毒攻擊開始了大規(guī)模傳播，5月12日晚上20時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，用戶只要開機(jī)上網(wǎng)就可被攻擊。五個(gè)小時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢復(fù)文件，這場(chǎng)攻擊甚至造成了教學(xué)系統(tǒng)癱瘓，包括校園一卡通系統(tǒng)。

這次的“永恒之藍(lán)”勒索蠕蟲，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個(gè)月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個(gè)Windows系統(tǒng)服務(wù)（SMB、RDP、IIS）的遠(yuǎn)程命令執(zhí)行工具，其中就包括“永恒之藍(lán)”攻擊程序。

惡意代碼會(huì)掃描開放445文件共享端口的Windows機(jī)器，無(wú)需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

目前，“永恒之藍(lán)”傳播的勒索病毒以ONION和WNCRY兩個(gè)家族為主，受害機(jī)器的磁盤文件會(huì)被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等各類資料都無(wú)法正常打開，只有支付贖金才能解密恢復(fù)。這兩類勒索病毒，勒索金額分別是5個(gè)比特幣和300美元，折合人民幣分別為5萬(wàn)多元和2000多元。 

解決方法：

根治方法對(duì)于Win7及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補(bǔ)丁MS17-010 下載地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)立即電腦安裝此補(bǔ)丁。出于基于權(quán)限最小化的安全實(shí)踐，建議用戶關(guān)閉并非必需使用的Server服務(wù)，操作方法見應(yīng)急處置方法節(jié)。

對(duì)于Windows XP、2003等微軟早已不再提供安全更新的系統(tǒng)，微軟也特別為此漏洞提供了補(bǔ)丁下載，下載地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

恢復(fù)階段建議針對(duì)重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，針對(duì)重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤或者設(shè)備進(jìn)行替換。 

第1章       終端windows PC及服務(wù)器檢查及處理

注意：操作前請(qǐng)備份重要數(shù)據(jù)。

1.1 檢查系統(tǒng)是否開啟共享服務(wù)：

1、打開 開始 按鈕，點(diǎn)擊 運(yùn)行，輸入cmd，點(diǎn)擊確定

2、輸入命令：netstat -an | find “445” 回車

3、查看結(jié)果中是否存在445端口

如下發(fā)現(xiàn)445端口開放，代表啟用共享服務(wù)

對(duì)于無(wú)共享文件需求的用戶，強(qiáng)烈建議關(guān)閉共享并更新補(bǔ)丁。

1.2 處理辦法一

關(guān)閉共享。

以Win7系統(tǒng)為例，操作步驟如下：

—》點(diǎn)擊 開始 按鈕—》在搜索框中輸入 cmd —》右鍵點(diǎn)擊菜單上面出現(xiàn)的cmd圖標(biāo)，選擇 以管理員身份運(yùn)行 —》在出來(lái)的 cmd 窗口中執(zhí)行 “net stop server”命令，會(huì)話如下圖：

1.3 處理辦法二

更新補(bǔ)丁。

官方更新地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010

請(qǐng)根據(jù)操作系統(tǒng)選擇對(duì)應(yīng)更新 （操縱系統(tǒng)位數(shù)查看參見文尾“附”部分）

下載完成后雙擊運(yùn)行安裝。

1.4 處理辦法三（針對(duì)mcafee行業(yè)用戶）

官方解決辦法：https://kc.mcafee.com/corporate/index?page=content&id=KB89335

1. 登錄mcafee epo

2. 新增自定義規(guī)則“Reg-WanaCrypt0r”“file-WanaCrypt0r”

附：

1.5如何檢查windows操作系統(tǒng)位數(shù)

1. 使用快捷鍵win+R

2. 輸入CMD

3. 輸入 systeminfo | find “OS”

其中OS版本代表操作系統(tǒng)類型，上圖為win10

4. 輸入 systeminfo | find “系統(tǒng)”

其中“系統(tǒng)類型”代表操作系統(tǒng)位數(shù)，上圖為64位

5. 故，PC為win10 64位