揭示「永恆之藍」勒索病毒最全真相（附八大安全企業防護方案）

編者按

5月12日晚，一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊，目前已知有100多個國家和地區受害，包括醫療系統、快遞公司、石油石化、學校、銀行、警察局等眾多行業受到影響，被攻擊者被要求支付比特幣解鎖。

我國的教育網絡在也成了本輪攻擊的重災區，攻擊造成了部分學校教學網絡的癱瘓。

界小編就為您揭開本次病毒攻擊事件的真相，以及相關防護舉措。

本文目錄

一

影響的範圍有多廣？

二

勒索病毒是如何攻擊的？

三

誰在進行攻擊？

四

受影響的系統有哪些？

五

個人電腦緊急措施

六

各大安全企業應對解決方案

導讀

5月12日開始，WannaCry勒索蠕蟲突然爆發，影響遍及全球100多個國家，包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者，我國的校園網和多家能源企業、政府機構也中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

而由於網際網路接入極其有限，朝鮮在這大範圍的攻擊下守住了一方凈土。

它幾乎是惟一在這場病毒災難中倖免的國家。

研究人普遍相信，這次大規模網絡攻擊採用了美國國家安全局(NSA)開發的黑客工具。

幾個私立網絡安全公司的研究人員表示，黑客通過利用名為「Eternal Blue」（永恆之藍）的NSA代碼，導致軟體能夠自我傳播。

一個月前，第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

針對國內感染狀況，5月13日下午360威脅情報中心率先發布了「永恆之藍」勒索蠕蟲態勢，截至到當天下午19:00，國內有28388個機構被「永恆之藍」勒索蠕蟲感染，覆蓋了國內幾乎所有地區。

在受影響的地區中，江蘇、浙江、廣東、江西、上海、山東、北京和廣西排名前八位。

一、影響的範圍有多廣？

目前，勒索病毒在全球爆發，已經影響了100多個國家和地區，包括美國、英國、中國、俄羅斯、西班牙、越南在內的國家和地區都受到這次高危事件的影響。

據悉，俄羅斯受影響最為嚴重，中國目前已經有超過2.4萬機器被感染。

1.國外受影響的行業

報告顯示，該惡意軟體的傳播最早是從英國開始的。

美聯社報導稱，英國各家醫院的電腦系統周五開始遭遇大規模網絡攻擊而癱瘓，導致預約取消、電話斷線、患者無法看病。

英國電腦系統遭到襲擊的包括管理倫敦主要醫院的巴茲醫療集團(Barts Health group)，集團管理的主要醫院有倫敦皇家醫院(The Royal London)和聖巴塞洛繆醫院(St Bartholomew’s)。

路透社的報導說，它無法通過獨立渠道核查，此次事件是否是針對6月8日的選舉而展開。

英國國民保健署(National Health Service， NHS)稱，這些醫院明顯是受到了「勒索軟體」的攻擊，攻擊者侵入醫院電腦系統中，鎖定電腦要求用戶支付贖金。

目前尚無證據表明病人的數據資料遭到泄露。

英國國家網絡安全中心和英國版「FBI」國家打擊犯罪調查局（NCA）已經開始著手調查。

多家西班牙公司遭到網絡攻擊，包括西班牙電信業巨頭Telefonica，攻擊者使用勒索軟體(ransomware)鎖住用戶的電腦文件。

美國聯邦快遞和俄羅斯內政部也都聲明表示受到了攻擊。

2.國內受影響的行業

國內多個高校校內網、大型企業內網和政府機構專網中招，文檔被加密，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

攻擊者稱需支付比特幣解鎖。

據有關機構統計，目前國內平均每天有5000多台電腦遭到NSA「永恆之藍」黑客武器的遠程攻擊，教育網已成重災區。

包括北京、上海、重慶、成都等多城的部分中石油旗下加油站在昨日0點左右突然斷網，而因斷網目前無法使用支付寶、微信等聯網支付方式，只能使用現金。

中石油有關負責人表示，懷疑受到勒索病毒攻擊，具體情況還在核查處置中。

中石油有關負責人表示，目前公司加油站的加油業務和現金支付業務正常運行，但是第三方支付無法使用，懷疑受到病毒攻擊，具體情況還在核查處置中。

二、勒索病毒是如何攻擊的？

據分析，此次校園網勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。

「永恆之藍」可遠程攻擊Windows的445埠（文件共享），如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

由於國內曾多次出現利用445埠傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445埠。

但是教育網並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

目前，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

安全專家發現，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。

此前某安全中心推出的「NSA武器庫免疫工具」，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行「本地化」。

會將自身複製到每個文件夾下，並重命名為「@[email protected]」。

同時衍生大量語言配置等文件，該勒索軟體AES和RSA加密算法，加密的文件以「WANACRY!」開頭，加密如下後綴名的文件：

三、誰在進行攻擊？

一些專家說，這種攻擊應該是利用了微軟系統的一個漏洞。

該漏洞其實最早是美國國安局發現的，他們還給漏洞取名為Eternal Blue（永恆之藍）。

然後，國安局研發的相關工具就被一個名為「影子經紀人」的黑客團體竊取了。

黑客們還嘗試在一個網上拍賣中出售它們。

但是，黑客們之後又決定免費提供這些工具，並在4月8日發布了加密密碼。

黑客們表示，他們發布密碼，是為了對美國總統唐納德·川普表示「抗議」。

當時一些網絡安全專家表示，惡意軟體可能是真的，但卻已經過時，因為微軟在3月份就發布了這個漏洞的補丁，但問題在於，很多系統可能尚未安裝更新補丁。

微軟周五表示，其工程師已經增加了針對WannaCrypt的檢測和保護。

微軟還說，該公司正在為客戶提供幫助。

另外，黑客要求用戶在被感染後的三天內交納相當於300美元的比特幣，三天後「贖金」將翻倍。

七天內不繳納贖金的電腦數據將被全部刪除，對無力支付300美元的人還設有為期六個月的「人性化」特別還款通道。

提示框左邊是計時器，右邊則標有付款及檢驗付款生效的方法。

四、受影響的系統有哪些？

此次「wannacry」勒索病毒瘋狂傳播的原因是藉助了前不久泄露的Equation Group（方程式組織）的「永恆之藍」漏洞利用工具的代碼。

該工具利用了微軟今年3月份修補的MS17-010 SMB協議遠程代碼執行漏洞，該漏洞可影響主流的絕大部分Windows作業系統版本。

MS17-010漏洞主要影響以下作業系統：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。

由於EternalBlue的利用代碼主要針對WindowsXP以及Windows7，2008，因此此次事件對於Windows XP、Windows 7，Windows2008的影響更為嚴重。

上述Win7及以上作業系統只要打開了445埠且沒有安裝MS17-010的機器則確認會受到影響。

WindowsXP/2003作業系統沒有補丁，只要開啟了445埠則確認受到影響。

五、個人電腦緊急措施

針對個人電腦需要採取和緊急措施：

1、通過配置臨時關閉SMB服務，依次打開控制面板--->網絡和 Internet--->網絡和共享中心--->查看網絡狀態和任務--->更改適配器設置--->右鍵選取使用的網卡，點擊屬性，取消勾選Microsoft 網絡文件和印表機共享，確認後重啟電腦。

2、通過防火牆臨時關閉SMB服務：依次打開控制面板--->系統和安全--->Windows防火牆--->高級設置--->使用入站規則，阻斷tcp協議的445號埠的連接訪問。

並保證Windows防火牆處於開啟狀態：

3、Window7及以上版本電腦通過微軟官方更新的MS17-010補丁進行安裝更新，可參考：https://support.microsoft.com/zh-cn/help/4012598/title。

（微軟不再提供Windows XP/Windows2003系統的安全更新，低版本者建議更新作業系統版本。

）

六、各大安全企業應對解決方案

現在，國內各大家安全企業都推出了自己的解決方案，下面界小編為大家一一盤點，排名不分先後。

1

微軟

由於本次勒索軟體危害範圍之廣，令微軟方面提起重視，微軟在今晨已發表聲明將採取緊急措施以應對此次病毒襲擊。

微軟宣稱使用Windows 10系統的用戶尚未受到「WannaCry」的攻擊。

1.對已經停止提供安全更新的Windows XP、Windows 8、Windows Server 2003等系統提供緊急安全更新。

2.微軟為Windows XP、Windows 8、Windows Server 2003系統提供的安全補丁。

下載地址如下：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 。

3.微軟提供免費查掃工具：http://www.microsoft.com/security/scanner/ is designed to detect this threat as well as many others。

2

奇虎360

360產品針對本次勒索病毒事件的處置建議：

1.360天擎終端安全管理系統。

安裝了360天擎完整的終端安全管理套件的客戶，應該開啟終端的自動漏洞修復，並及時升級天擎控制台的補丁庫，確保與 MS17-010 相關的補丁均已打上。

在帶寬允許的情況下，可以主動下發漏洞修復任務確保更快速的補丁應用。

對於XP和Windows 2003等已經沒有補丁支持的系統，可以藉助天擎的專殺工具機制，下髮腳本對終端的受影響服務進行關閉操作。

2. 360新一代智慧防火牆、下一代極速防火牆早在一個月前就已經通過更新IPS特徵庫完成了對該攻擊的防護。

此外，由於該攻擊已開始在教育網內泛濫，不排除高校部分開放445埠的主機已被攻擊，新一代智慧防火牆基於「智慧發現」、「智慧調查」特性可高效檢測、統計產生此類攻擊的終端IP，協助用戶快速定位已失陷主機以便於及時在終端系統進行處置操作。

3.360天眼未知威脅感知系統的流量探針在第一時間加入了其中幾款最嚴重的遠程代碼執行漏洞的攻擊檢測，包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。

另外，其他利用工具的檢測規則在持續跟進中，請密切關注360天眼流量探針規則的更新通知。

4.360天眼產品的應急處置方案：360天眼流量探針（傳感器）通過：系統配置->設備升級->規則升級，選擇「網絡升級」或「本地升級。

3

安天實驗室

安天發布了針對勒索者蠕蟲病毒WannaCry的幾個應對措施。

1.《安天緊急應對新型「蠕蟲」式勒索軟體「wannacry」全球爆發》下載地址為：http://www.antiy.com/response/wannacry.html

2.《安天應對勒索軟體「wannacry」防護手冊》下載地址為：http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html。

3.《安天應對勒索者蠕蟲病毒WannaCry FAQ》下載地址為：http://www.antiy.com/response/Antiy_Wannacry_FAQ.html

4.蠕蟲病毒WannaCry免疫工具和掃描工具下載地址為：http://www.antiy.com/tools.html

4

亞信安全

1.亞信安全深度威脅發現設備TDA。

TDA 的內網攻擊檢測能力是針對源頭的零日漏洞進行實時有效的網絡攻擊行為檢測，讓用戶能快速從網絡威脅情報的角度定位內網遭受攻擊的終端，以實施相對應的響應措施。

同時，用戶可透過產品聯動方式與亞信安全終端安全產品 OfficeScan 以及亞信安全網關產品 DeepEdge 進行有效聯動以阻斷其攻擊。

2.亞信安全伺服器深度安全防護系統Deep Security。

針對微軟遠程代碼執行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已發布了針對所有Windows 系統的IPS策略，用戶只需要對虛擬化系統做一次"建議掃描"操作，就能自動應用該策略，無論是有代理還是無代理模式，都能有效防護該勒索軟體。

3.亞信安全深度威脅安全網關Deep Edge。

Deep Edge在4月26日就發布了針對微軟遠程代碼執行漏洞 CVE-2017-0144的4條IPS規則 （規則名稱：微軟MS17 010 SMB遠程代碼執行1-4 規則號：1133635,1133636,1133637,1133638）。

可在網絡邊界及內網及時發現並攔截此次加密勒索軟體攻擊。

4.亞信安全深度威脅郵件網關DDEI。

針對加密勒索軟體攻擊，用戶需要在Web和Mail兩個入口嚴加防範。

雖然此次攻擊是黑客利用系統漏洞發起的勒索軟體攻擊，只需在Web渠道通過IPS或防火牆規則即可攔截，但廣大用戶切不可掉以輕心，因為還有大量的勒索軟體攻擊是通過郵件渠道發起的，我們還需要在郵件入口處加以防範，防止勒索軟體捲土重來。

5.教育網安全緩解措施

在邊界出口交換路由設備禁止外網對校園網135/137/139/445埠的連接；

在校園網絡核心主幹交換路由設備禁止135/137/139/445埠的連接。

5

安恆信息

安恆信息提醒廣大Windows系統用戶：

1.目前微軟已發布補丁MS17-010修復了「永恆之藍」工具所利用的系統漏洞，請儘快為電腦安裝此補丁。

補丁下載連結：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2.請注意微軟只會為仍在服務期內的版本發布補丁，對於較早的已不在服務期內的版本（Windows 7之前版本，Windows Server 2008之前版本），微軟不會發布補丁。

建議使用這些版本的用戶將系統升級到服務期內的版本並及時安裝可用的補丁。

如果無法升級到服務期內的版本，建議用戶部署基本的防火牆，禁止電腦直接使用公網IP。

3.在Windows系統上關閉不必要開放的埠，如445、135、137、138、139等，並關閉網絡共享。

4.定期備份重要文件數據。

6

啟明星辰

啟明星辰為用戶提供6大解決方案。

1.未部署端點安全的終端應急解決方案

做好重要文件的備份工作（非本地備份）； 開啟系統防火牆；利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）；打開系統自動更新，並檢測更新進行安裝；停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的作業系統；如無需使用共享服務建議關閉該服務。

2.已部署端點安全的終端應急解決方案。

如果用戶已經部署終端管理類產品，如北信源，天珣、聯軟等；通過終端管理軟體進行內網打補丁；通過主機防火牆關閉入棧流量。

主機防火牆關閉到445出棧流量；開啟文件審計，只允許word.exe，explore.exe等對文件訪問； 升級病毒庫，已部署天珣防病毒的用戶，支持查殺。

3.網絡應急解決方案。

在邊界出口交換路由設備禁止外網對內網135/137/139/445埠的連接；在內網核心主幹交換路由設備禁止135/137/139/445埠的連接；如果有部署入侵防禦等防護系統則儘快檢查漏洞庫升級，開啟防禦策略；發布通知重點留意郵件、移動存儲介質等傳播渠道，做好重點檢查防護工作。

4.已經感染解決方案。

斷開網絡連接，阻止進一步擴散；優先檢查未感染主機的漏洞狀況（可直接聯繫啟明星辰，提供免費檢測工具使用），做好漏洞加固工作後方可恢復網絡連接；已經感染終端，根據終端數據類型決定處置方式，如果重新安裝系統則建議完全格式化硬碟、使用新作業系統、完善作業系統補丁、通過檢查確認無相關漏洞後再恢復網絡連接。

5.內部排查應急方案。

若用戶已部署漏洞掃描類產品，可聯繫廠商獲得最新漏洞庫的支持；已部署啟明星辰天鏡漏掃產品的用戶，請大家升級至最新漏洞庫即可，建議使用漏掃6070以上版本進行掃描，最新漏洞庫607000088。

實現對內部Windows主機資產的漏洞情況排查；未部署相關產品的用戶，可聯繫廠商獲得產品試用應急。

6.無法關閉服務埠的應急解決方案。

若用戶已部署UTM/IPS入侵防禦類產品，可聯繫廠商獲得最新事件庫的支持；已部署啟明星辰天清入侵防護類產品（IPS/UTM）的用戶，請大家升級至最新事件庫並下發相應規則即可實現對內部Windows主機的防護；未部署相關產品的用戶，可聯繫廠商獲得產品試用應急。

7

迪普科技

迪普安全設備防禦方案：更新迪普科技IPS最新版本漏洞特徵庫，並對14221，14222特徵規則配置阻斷策略。

在迪普科技防火牆設備上對445號埠配置阻斷策略。

8

銳捷網絡

1.針對終端處理的建議：

（1）及時安裝補丁：微軟已發布補丁，修復了「永恆之藍」攻擊的系統漏洞，補丁編碼MS17-010，請儘快按照如下連結安裝https://technet.microsoft.com/zh-cn/library/security/MS17-010。

（2）關閉445埠與相關服務。

打開控制面板中的Windows防火牆，並保證防火牆處於啟用狀態，打開防火牆的高級設置，在「入站規則」中新建一條規則，本地埠號選擇445，操作選擇阻止連接，同事建議關閉135、137、138、139。

（3）備份與升級。

使用U盤、移動硬碟備份電腦中的文件，重要文件採用不可逆的加密算法進行加密。

建議使用微軟較高版本的windows系統，並自動修復補丁，保持補丁版本的最新。

2.針對防火牆處理建議：

（1）禁止雙向135/137/139/445埠的連接建立。

（2）更新病毒庫即開啟防病毒策略即可。

銳捷病毒樣本庫已於5月12日上午9點更新。

（3）更新IPS特徵庫，確保關於windows全部漏洞代碼的特徵，並開啟IPS策略。

（4）阻斷已知的Wannary 勒索軟體C&C伺服器。

界小編結語：

在過去幾年間，類似「紅色代碼」、「震盪波」、「衝擊波」等大規模蠕蟲感染帶來的網絡擁塞，系統大面積異常等事件日趨減少。

而對基於PC節點的大規模殭屍網絡的關注也開始不斷下降，類似Mirai等IoT殭屍網絡開始成為注意力的焦點。

這使傳統IT網絡開始陷入一種假想的「平靜」當中。

由於Windows自身在DEP、ASLR等方面的改善， 使一擊必殺的系統漏洞確實在日趨減少，主流的攻擊面也開始向應用開始轉移。

在這種表面上的平靜之中，以竊密、預製為目的的APT攻擊，則由於其是高度隱秘的、難以為IT資產的管理者感知到的攻擊，始終未能得到足夠的重視。

而黑產犯罪的長尾化，針對性的特點，也使其並不依賴極為龐大的受害人群分布，即可獲得穩定的黑色收益。

因此在過去幾年，內網安全風險是圍繞高度隱蔽性和定向性展開的，這種風險難以感知的特點，導致內網安全未得到有效的投入和重視。

也為導致今天的大規模安全災難形成了必然基礎。

勒索軟體的一大特點，是其威脅後果是直接可見的。

這種極為慘烈的損失，昭示了內網安全的欠帳。

也說明我們長期在簡單的邊界防護、物理隔離和內部的好人假定的基礎上經營出安全圖景，是一種「眼不見為凈」式的自欺，無法通過攻擊者的檢驗。