濟寧市政府辦關於防止新型電腦病毒侵害的緊急通知

濟寧市人民政府辦公室

關於防止新型電腦病毒侵害我市網絡的

緊急通知

各縣（市、區）人民政府，濟寧高新區、太白湖新區、濟寧經濟技術開發區、曲阜文化建設示範區管委會（推進辦公室），市政府各部門，各大企業，各高等院校：

2017年5月12日，網際網路上出現針對Windows作業系統的病毒Wannacry（中文名稱：永恆之藍）。

該病毒利用已披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）為攻擊手段，對電腦中的文檔、圖片等實施高強度加密，並向用戶勒索贖金。

目前，包括高校、能源、金融、醫院等重要信息系統在內的多類用戶受到攻擊，已對我國網絡安全構成嚴重威脅。

為確保我市網絡安全，現將有關事項緊急通知如下：

一、病毒Wannacry的危害性

一是時間節點敏感。

該病毒事件發生於周末——非工作日，且恰逢我國舉辦「一帶一路」高峰論壇前夕，時間節點比較敏感。

二是隱蔽性極強。

與以往常見的病毒不同，該病毒在全球範圍無任何解決方案，一旦中毒，文檔將被徹底破壞。

三是對重點行業破壞性大。

目前，接到公安部有關通報，國內部分高校、金融、能源、醫療等關係國計民生的重要系統遭到破壞，許多在校大學生的畢業論文及資料遭到病毒加密，不能使用；部分醫院結算系統癱瘓，嚴重影響醫院正常業務。

二、前期應對措施

鑒於該病毒的特殊性和危害性，市公安局迅速行動，於5月13日上午立即組織開展應對工作：一是利用市網絡與信息安全信息通報機制向全市各網絡關鍵信息基礎設施單位發出預警，提醒各單位採取預防病毒感染的措施，開展應急處置；二是立即協調北京360、杭州安恆、北京知道創宇等國內知名網絡安全企業，請其予以技術支持，並向我市開放專門的安全諮詢電話熱線；三是做好我市網絡安全信息機制支撐單位向受害單位提供人員、設備等現場支持服務的準備。

三、具體防範措施

為防止該病毒在周一（15日）各單位正常上班後在我市更大範圍傳播，請各單位及時更新Windows已發布的安全補丁，同時在網絡邊界、內部網絡區域、主機資產、數據備份等方面做好以下工作：

一是關閉445等埠（其他關聯埠如: 135、137、139）的外部網絡訪問權限，在伺服器上關閉不必要的上述服務埠（具體操作請見參考連結）；

二是加強對445等埠（其他關聯埠如: 135、137、139）的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

三是及時更新作業系統補丁；

四是安裝並及時更新殺毒軟體；

五是不要輕易打開來源不明的電子郵件；

六是定期在不同的存儲介質上備份信息系統業務和個人數據；

七是經市網絡與信息安全通報中心協調，國內多家安全防護企業為我市提供了單獨的技術支持服務熱線和現場技術服務。

附件：1．技術參數詳情

2．濟寧定向技術支持熱線

濟寧市人民政府辦公室

2017年5月14日

附件1

技術參數詳情

一、事件名稱

Wana新型惡意軟體爆發預警：本次爆發的勒索軟體是一個名稱為「wannacry」的新家族，目前無法解密該勒索軟體加密的文件。

黑客利用NSA黑客武器庫泄漏的「永恆之藍」工具發起的網絡攻擊事件：大量伺服器和個人PC感染病毒後被遠程控制，被安裝勒索軟體，磁碟文件會被病毒加密為.onion或者.WNCRY後綴，用戶只有支付高額贖金後才能解密恢復文件，對各級單位及企業重要文件數據造成嚴重損失。

「EternalBlue」工具利用的是微軟Windows作業系統的SMBv1協議中的安全漏洞。

未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出，導致在目標機器上遠程執行任意代碼。

「永恆之藍」工具會掃描開放445文件共享埠的Windows機器，只要用戶開機上網，黑客就可能在電腦和伺服器中植入勒索軟體。

已經有大量網絡的用戶報告個人PC被安裝了勒索軟體。

此外，根據國外媒體的報導，目前英國、美國、俄羅斯、西班牙、義大利、越南、台灣等國家和地區也出現了被感染的情況。

二、影響範圍

MS17-010漏洞主要影響以下作業系統：

桌面版本作業系統：

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10

伺服器版本作業系統：

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016

三、檢測方法

由於「EternalBlue」的利用代碼主要針對Windows XP、Windows7、WindowsServer 2008等，這些版本的作業系統占桌面、伺服器作業系統的大部分，因此此次事件對於Windows的影響非常嚴重。

檢測方法只需檢測受影響的Windows作業系統版本只要打開了445埠、且沒有安裝MS17-010的機器則確認會受到影響。

埠掃描方法：

# nmap -sS -p 445 -vv192.168.1.1/24

或者使用其他埠掃描工具例如：Softperfect NetworkScanner （https://www.softperfect.com/）

配置掃描埠為445

漏洞檢測POC腳本：ttps://github.com/countercept/doublepulsar-detection-script

「DOUBLEPULSARSMB IMPLANT DETECTED!!!」說明系統存在漏洞

四、應急處置措施

（一）對於已經感染的系統

斷開已經感染的主機系統的網絡連接，防止進一步擴散；

優先檢查未感染主機的漏洞狀況，做好漏洞加固工作後方可恢復網絡連接。

已經感染終端，根據終端數據重要性決定處置方式，如果重新安裝系統則建議完全格式化硬碟、使用全新作業系統、完善作業系統補丁、安裝防病毒軟體並通過檢查確認無相關漏洞後再恢復網絡連接。

（二）對於未感染的系統

注意：以下操作有先後順序，請逐步開展。

[*非常重要*] 拔掉網線之後再開機啟動；

做好重要文件的備份工作（最好備份到存儲介質中）；

開啟系統防火牆，並設置阻止向445埠進行連接，可以使用以下命令開展：

方法一：

echo "請務必以管理員身份運行"

netsh firewall set opmode enable

netsh advfirewall firewall add rulename="deny445" dir=in protocol=tcp localport=445 action=block

方法二：

Windows 32位關閉445埠批處理（bat）：

REG ADDHKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /TREG_DWORD /D 0 /F&&sc configLanmanServer start= disabled&&net stop lanmanserver /y

Windows x64位關閉445埠批處理（bat）：

REG ADDHKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /TREG_QWORD /D 0 /F&&sc configLanmanServer start= disabled&&net stop lanmanserver /y

新建文本文檔，然後複製以上腳本內容，另存為【.bat】格式的文件，並右鍵【管理員運行】，待CMD對話框消失後，重啟電腦即可。

如無必需，建議關閉SMB共享服務；

打開系統自動更新，並檢測系統補丁進行安裝，如果是內網環境可以採用離線補丁方式更新；

安裝殺毒軟體並升級病毒庫；增強個人主機病毒防範意識，不隨意打開位置來源的文件，關閉移動存儲自動播放功能等

（三）網絡層防護

邊界交換機、路由器、防火牆等設備禁止雙向135/137/139/445埠的TCP連接。

內網核心主幹交換路由設備禁止雙向135/137/139/445埠的TCP連接。

更新入侵防禦、入侵檢測、APT安全設備漏洞庫，開啟防禦策略。

五、離線補丁下載地址

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

Security Update for Windows Server 2003 for x64Systems (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows Server 2008 R2 x64(KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows10 ()

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Security Update for Windows10 x64 ()

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

附件2

濟寧定向技術支持熱線

360企業安全集團程先生 18513418671

北京知道創宇信息技術有限公司 王女士 18678897080

杭州安恆信息技術有限公司 孫先生 13964038025

路先生 18653177861

烽火通信科技股份有限公司 楊先生 18660154791

北京天融信網絡安全技術有限公司 姜先生 15168838868

劉先生 15508623875

卡巴斯基技術開發（北京）有限公司 倪先生 18660771128