注意注意，小心勒索病毒

公

告

勒索病毒威脅預警及臨時解決方案

國家網絡與信息安全信息通報中心緊急通報：5月12日晚間，全球爆發了一系列勒索病毒（Wannacry）的感染事件。

目前已有100多個國家和地區的數萬台電腦遭該勒索病毒感染，包括英國、俄羅斯，義大利等大部分歐洲國家，國內大量企業和多個高校的教育網受到感染，導致系統癱瘓。

該勒索病毒會加密被感染系統上的資料和數據，要求支付相應的贖金才會解密和恢復。

有些學校學生反饋，明天就要答辯，今天電腦感染了勒索軟體，論文被加密無法打開，被敲詐高額的比特幣贖金。

種種跡象表明，這是一輪專門針對高校畢業季的校園網病毒攻擊事件。

再次提醒，一定要打補丁！！！漏洞不補，就是打開門放黑客進來，它可以拿到系統最高權限做任何事。

勒索軟體Wannacry

據悉，此次勒索軟體是一個名為「Wannacry」的全新家族，目前還無法解密被該軟體加密的資料和數據。

該軟體是利用了之前方程式組織泄漏的大量Windows漏洞文件中的一個SMB漏洞（MS17-010），微軟官方已經在3月份發布了相關修復補丁，但由於部分用戶沒能及時安裝修復該漏洞，導致了該勒索軟體的大規模感染及攻擊。

軟體感染實例如下：

當系統被該勒索軟體入侵後，彈出勒索對話框：

圖 1 勒索介面

加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，被加密的文件後綴名被統一修改為「.WNCRY」。

圖 2 加密後的文件名

受影響及不受影響的版本情況

由於目前分析該勒索軟體利用了之前MS17-010的一個SMB漏洞，因此沒有修復該漏洞的系統均有可能遭到感染，請用戶及時下載更新系統版本來防護。

請參考連結：MS17-010漏洞的詳細信息

臨時防護方案

由於該勒索軟體利用了一個微軟官方的SMB漏洞，請用戶及時檢查是否安裝了相關的修復補丁，並確保已經下載安裝了相關補丁，參考連結：

1. 升級針對ms17-010的微軟的漏洞補丁，可以採用自動更新或下載更新補丁的方法，補丁更新地址如下：

WindowsVista、WindowsServer2008

Windows 7、Windows Server 2008 R2

Windows 8.1、Windows Server 2012R2

Windows RT 8.1

2. 用戶可以啟動Windows防火牆並關閉系統137,139,445等系統 smb埠來阻止外部的連接請求。

關閉網絡共享；打開系統自動更新，並檢測更新進行安裝

打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

選擇啟動防火牆，並點擊確定

點擊入站規則，新建規則

選擇埠、下一步

特定本地埠，輸入445,139,137，下一步

選擇阻止連接，下一步

配置文件，全選，下一步

名稱，可以任意輸入，完成即可。

XP系統的處理流程

依次打開控制面板，安全中心，Windows防火牆，選擇啟用

點擊開始，運行，輸入cmd，複製下面三條命令並確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

由於微軟已經不再為XP系統提供系統更新，建議用戶儘快升級到高版本系統。

特別重要提示：做好系統中的重要文件備份，將重要文件備份到U盤或其他移動硬碟。

新媒體工作室

製作：呂博