13 2017,05

" 永恒之藍(lán) 勒索病毒蠕蟲 <

文(wén)章(zhāng)摘要(yào)：基于SMB文(wén)件(jiàn>)共享傳播的(de)蠕蟲病毒攻擊開(kāi)始了(le)大(dà)規模傳播，5月(yuè)12日(rì)晚上(shàng)20時(shí)左右，…

由于一(yī)帶一(yī)路(lù)高(gāo)峰論壇明(míng)天在北(běi)京召開(kāi)，這(zhè)是(shì)今年(nián)中國(guó)最大(dà)的(de)外(wài≈)交事(shì)件(jiàn)，29個(gè)國(guó)家(jiā)的(de)國(guó)家(jiā)元首或政府首腦(nǎo)以及來(lái)自(zì)130多(duō)個(gè)國(guó)家(jiā)的(de)1500名代表将出席。恰在此時(shí)，基于SMB文(wén)件(jiàn)共享傳播的(de)蠕蟲病毒攻擊開(kāi)始了(le)大(dà)規模傳播，5月(yuè)12日(rì)晚上(shàng)20時(shí)左右，全球爆發大(dà)規模勒索軟件(jiàn)感染事(shì)件(jiàn)，用(yòng)戶隻要(yào)開(k∏āi)機(jī)上(shàng)網就(jiù)可(kě)被攻擊。五個(gè)小(xiǎo)時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè×)歐洲以及國(guó)內(nèi)多(duō)個(gè)高(gāo)校(xiào)校(xiào)內(n≥èi)網、大(dà)型企業(yè)內(nèi)網和(hé)政府機(jī)構專網中招，被勒索支付高(gāo)額贖金(jīn)（有(yǒu)的(de)需要(yào)比特币）才±能(néng)解密恢複文(wén)件(jiàn)，這(zhè)場(chǎng)攻擊甚至造成了(le)教學系統癱瘓，包括校(xiào)園一(yī)卡通(tōng)系統。

這(zhè)次的(de)“永恒之藍(lán)”勒索蠕蟲，是(shì)NSA網絡軍火(huǒ)民(mín)用(yòng)化(huà)的(de)全球第一(yī)例。一(yī)個(gè)月(yuè)前，第四批NSA相(xiàng)關網絡攻擊工(gōng)具及文(wén)檔被Shadow Brokers組織公布，包含了(le)涉及多(duō)個(gè)Windows系統服務（SMB、RDP、IIS）的(de)遠(yuǎn)程命令執行(xíng)工(gōng)具，其中就(jiù)包括“永恒之藍(lán)”攻擊程序。

惡意代碼會(huì)掃描開(kāi)放(fàng)445文(wén)件(jiàn)共享端口的(de)Windows機(jī)器(qì)，無需用(yòng)戶任何操作(zuò)，隻要(yào)開(kāi)機(jī)上(sλhàng)網，不(bù)法分(fēn)子(zǐ)就(jiù)能(néng)在電(diàn)腦(nǎo)和(hé)服務器(qì✘)中植入勒索軟件(jiàn)、遠(yuǎn)程控制(zhì)木(mù)馬、虛拟貨币挖礦機(jī)等惡意程序。

目前，“永恒之藍(lán)”傳播的(de)勒索病毒以ONION和(hé)WNCRY兩個(gè)家(jiā)族為(wèi)主，受害機(jī)器(qì)的(de)磁盤文(wén)件(jiàn)會(huì)被篡改為(wèi)相(xiàng)應的(λde)後綴，圖片、文(wén)檔、視(shì)頻(pín)、壓縮包等各類資料都(dōu)無法正常打開(kāi)，隻有(yǒu)支付贖金(λjīn)才能(néng)解密恢複。這(zhè)兩類勒索病毒，勒索金(jīn)額分(fēn)别是(shì)5個(gè)比特币和(hé)300美(měi)元，折合人(rén)民(mín)币分(fēn)别為(wèi)5萬多(duō)元和(hé)2000多(duō)元。

解決方法：

根治方法對(duì)于Win7及以上(shàng)版本的(de)操作(zuò)系統，目前微(wēi)軟已發布補丁MS17-010 下(xià)載地(dì)址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.asp x修複了(le)“永恒之藍(lán)”攻擊的(de)系統漏洞，請(qǐng)立即電(diàn)腦(nǎo)安裝此補丁。出于基于權限最小(xiǎo)化(huà)的(de)安全實踐∏，建議(yì)用(yòng)戶關閉并非必需使用(yòng)的(de)Server服務，操作(zuò)方法見(jiàn)應急處置方法節。

對(duì)于Windows XP、2003等微(wēi)軟早已不(bù)再提供安全更新的(de)系統，微(wēi)軟也(yě)特别為(wèi)此漏洞提供了(le)補丁下(xδià)載，下(xià)載地(dì)址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

恢複階段建議(yì)針對(duì)重要(yào)業(yè)務系統立即進行(xíng)數(shù)據備份，針對(duì)重‍要(yào)業(yè)務終端進行(xíng)系統鏡像，制(zhì)作(zuò)足夠的(de)系統恢複盤♥或者設備進行(xíng)替換。

第1章(zhāng) 終端windows PC及服務器(qì)檢查及處理(lǐ)

注意：操作(zuò)前請(qǐng)備份重要(yào)數(shù)據。

1.1 檢查系統是(shì)否開(kāi)啓共享服務：

1、打開(kāi) 開(kāi)始按鈕，點擊運行(xíng)，輸入cmd，點擊确定

2、輸入命令：netstat -an | find “445” 回車(chē)

3、查看(kàn)結果中是(shì)否存在445端口

如(rú)下(xià)發現(xiàn)445端口開(kāi)放(fàng)，代表啓用(yòng)共享服務

對(duì)于無共享文(wén)件(jiàn)需求的(de)用(yòng)戶，強烈建議(yì)關閉共享并更新補丁。

1.2 處理(lǐ)辦法一(yī)

關閉共享。

以Win7系統為(wèi)例，操作(zuò)步驟如(rú)下(xià)：

—》點擊開(kāi)始按鈕—》在搜索框中輸入 cmd —》右鍵點擊菜單上(shàng)面出現(xiàn)的(de)cmd圖标，選擇以管理(lǐ)員(yuán)身(shēn)份運行(xíng) —》在出來(lái)的(de) cmd 窗(chuāng)口中執行(xíng) “net stop server”命令，會(huì)話(huà)如(rú)下(xià)圖：