大规模勒索病毒wannacry病毒事件详解

最近，一种新型勒索病毒爆发，现已对高校的教育网、校园网已经造成了影响，致使许多实验室数据和毕业设计被锁。

勒索病毒界面

但是，随着时间的推移，该病毒事件不断发酵升级，派出所，机场，加油站也受到了影响。

根据报道，该事件已经成为一件全球性的事件，全英国上下16家医院遭到了大范围的网络攻击，一些遭到网络攻击的医院不得不将需要紧急治疗的患者转移到其他医院，内部恢复使用纸笔。

与此同时，俄罗斯内政发言人对媒体表示，俄罗斯内政部约1000台电脑受到网络攻击。而根据英国媒体的报道，目前约有100多个国家和地区遭受网络攻击，其中大部分是欧洲国家，截至目前，尚未有机构和个人声称对此次事件负责。

影响波及图 影响波及图

本次安全事件影响范围包括全部开放445端口的系统，影响范围巨大。

目前已知受影响的  Windows 版本包括但不限于：

Windows 2000 / Windows XP / Windows Server 2003

Windows Vista / Windows Server 2008 / WindowsServer 2008 R2

Windows 7 / Windows 8 / Windows 10

Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016

首先先来了解一下445端口是什么。445端口是一种TCP端口，有了它我们可以在局域网中访问各种共享文件夹或共享打印机。

其实，由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户已经封掉了445端口。而无此限制的系统、单位就存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。

在一个月之前，方程式Windows 0-day攻击工具泄露，而本次的勒索软件，外媒取名wannacry（想哭蠕虫）正是利用之前泄露的永恒之蓝漏洞迅速感染补丁更新不够及时的Windows目标。

微软此前发布的安全公告

嗯，还记得每次自动更新时候的抱怨吗？这一次的病毒爆发事件就用事实告诉了你，你每次的等待是多么的有必要。

不要试图和黑客交易

付了也没用，道理很简单，因为就算你付了钱，对方也并不能定位你的机器，就算他是个有原则，收钱办事的家伙，他也不知道你的电脑的标识，所以付钱没用。而且比特币交易风险就极大，执法也是国际性难题，急忙交易极容易被坑，竹篮打水一场空，数据也不能及时取回。

自己尝试恢复数据

要想对加密文件进行行解密是很困难的，最有效的方式是通过之前的备份进行恢复。如果您没有额外的备份数据，您可以寻找一些安全厂商发布的工具集尝试解密数据，但随着加密勒索软件对抗的不断升级，加密勒索软件可以在很短的时间内出现变种，不一定保证数据能够恢复成功。

部署防病毒软件

除部分厂商，现在大部分防病毒厂商都可以检测到改病毒，应及时部署，提高部署率。

处理建议

1、打开系统自动更新，检测安装微软补丁；

2、由于微软已经不再为2000/XP/2003等win7以下系统提供系统更新，建议用户尽快升级到高版本系统（推荐）；

3、 所有  Windows 服务器、个人电脑，包括  XP/2003/Win7/Win10，全部使用防火墙过滤或双向关闭 137、139、445端口；

4、加强移动安全介质、网盘等软件安装入口管理；

5、 提升个人安全意识，及时备份重要文件。

重要提示：

主机在云平台环境下以及目前电子政务云的客户，要确保云服务商开启了租户间的主机隔离。

正逢广大应届毕业生论文答辩之际，同学们务必使用移动介质或者网盘备份重要资料以免造成无可挽回的损失。

相关解决方案

已经感染解决方案

◆ 一旦出现感染尽快断网，阻止进一步扩散，并及时防病毒厂商联系。

◆ 优先检查未感染主机的漏洞状况，做好漏洞加固工作后方可恢复网络连接。

◆ 已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

未部署端点安全的终端应急解决方案

◆ 做好重要文件的备份工作（非本地备份）。

◆ 开启系统防火墙。

◆ 利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

◆ 打开系统自动更新，并检测更新进行安装。

◆ 停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

◆ 如无需使用共享服务建议关闭该服务。

已部署端点安全的终端应急解决方案

◆ 如果用户已经部署终端管理类产品。

◆ 通过终端管理软件进行内网打补丁。

◆ 通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。

◆ 开启文件审计，只允许word.exe，explore.exe等对文件访问。

◆ 升级病毒库。

网络应急解决方案

◆ 在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接。

◆在内网核心主干交换路由设备禁止135/137/139/445端口的连接。

◆ 如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。

◆ 发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

内部排查应急方案

◆ 若用户已部署漏洞扫描类产品，可联系厂商获得最新漏洞库的支持。

◆ 更新漏洞库，实现对内部Windows主机资产的漏洞情况排查。

无法关闭服务端口的应急解决方案

◆ 已部署入侵防护类产品（IPS/UTM）的用户，请大家升级至最新事件库并下发相应规则即可实现对内部Windows主机的防护。

◆ 未部署相关产品的用户，可联系厂商获得产品试用应急。