防範WannaCry勒索病毒 緊急安全預警通告

1.安全通告

2017年5月12日起，全球範圍內爆發基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件，用戶只要開機上網就可被攻擊。

五個小時內，影響覆蓋美國、俄羅斯、整個歐洲等100多個國家，國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

目前發現的蠕蟲會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機並連接網，不法分子就能在電腦和伺服器中植入執行勒索程序、遠程控制木馬等惡意程序。

此蠕蟲目前在沒有對445埠進行嚴格訪問控制的教育網及企業內網大量傳播，呈現爆發的態勢，受感染系統會被勒索高額金錢，不能按時支付贖金的系統會被銷毀數據造成嚴重損失。

該蠕蟲攻擊事件已經造成非常嚴重的現實危害，各類規模的企業內網也已經面臨此類威脅。

2.攻擊分析

本次發現的蠕蟲利用Windows 0day漏洞並使用EternalBlue (永恆之藍)工具進行攻擊。

永恆之藍是NSA（美國國家安全局）的網絡部隊「方程式」組織使用的核彈級網絡攻擊武器（可以突破全球70%的計算機），勒索軟體搭配永恆之藍進行傳播，使得用戶不需要做任何的操作，只要電腦開機並且連接網際網路就有被攻擊的風險。

3.攻擊過程還原

• 尋找目標

A電腦連結的網絡中，有電腦感染的WannaCry勒索病毒正在掃描當前網絡中的所有計算機，發現A電腦存在相關漏洞並能夠使用永恆之藍攻擊。

• 進行傳播並開始勒索
  

發現A電腦可被攻擊時，病毒使用永恆之藍工具將自身植入A電腦並嘗試連結域名：

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

若域名存在（註冊）則停止繼續傳播，若域名不存在（未被註冊）則繼續進行傳播

然後病毒使用RSA+AES加密算法加密如下後綴名的文件：

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

將相關文件全部加密後，彈出勒索窗口並提示用戶付費。

• 擴散傳播
  

掃描網絡尋找存在相關漏洞的主機並繼續進行傳播，進一步感染內網其他主機。

• 攻擊過程詳細分析
  

在成功感染系統後，病毒開始加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，被加密的文件後綴名被統一修改為「.WNCRY」。

在加密完成後，啟動窗口實施勒索：

攻擊者極其囂張，號稱「除攻擊者外，就算老天爺來了也不能恢復這些文檔」（該勒索軟體提供免費解密數個加密文件以證明攻擊者可以解密加密文件，「點擊按鈕，就可以免費恢復一些文檔。

」該勒索軟體作者在介面中發布的聲明表示，「3天內付款正常，三天後翻倍，一周後不提供恢復」）。

4.處置建議

掃描內網，發現所有開放445 SMB服務埠的Windows終端和伺服器，確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響。

• 4.1.網絡層面

目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫，強烈建議網絡管理員在網絡邊界的防火牆上阻斷445埠的訪問，如果邊界上有IPS和防火牆之類的設備，請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷。

利用系統防火牆高級設置阻止向445埠進行連接

• 開啟系統防火牆

• 利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）

【Win7、Win8、Win10的處理流程】

1)打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

2)選擇啟動防火牆，並點擊確定

3)點擊高級設置

4)點擊入站規則，新建規則

5)選擇埠，下一步

6)特定本地埠，輸入445，下一步

7)選擇阻止連接，下一步

8)配置文件，全選，下一步

9)名稱，可以任意輸入，完成即可。

【XP系統的處理流程】

1).依次打開控制面板，安全中心，Windows防火牆，選擇啟用

2).點擊開始，運行，輸入cmd，執行下面的命令

net stop rdr

net stop srv

sc config netbt start= disabled

然後在註冊表中修改：

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT

Value: Start

Type: DWORD value (REG_DWORD)

Content: 4

net stop rdr

net stop srv

• 4.2.伺服器及PC機層面

1).使用「NSA免疫工具」檢測並修復

可使用360安全公司提供的「NSA免疫工具」，在伺服器或PC機上運行該工具，檢測伺服器或PC機是否存在NSA武器庫工具可以利用的漏洞，點擊「立即修復」，通過360安全衛士安裝補丁（伺服器或PC機需事先安裝360安全衛士）。

2).手動安裝MS17-010補丁

為保險起見，除了使用「NSA免疫工具」外，建議手動安裝微軟官方針對此次攻擊發布的MS17-010補丁。

就當前WannaCry利用「永恆之藍」漏洞進行攻擊的情形而言，安裝MS17-010補丁即可修復。

以上通告摘自某集團公告，僅大家參考，感謝

---

假若以上方法你都無法理解

提供【終極必殺技】

全面狙擊Wannacry

具有中國特色的安全解決方案已放出（如圖）