文章摘要： 基于SMB文件共享傳播的蠕蟲病毒攻擊開始了大規模傳播，5月12日晚上20時左右，…

由于一帶一路高峰論壇明天在北京召開，這是今年中國最大的外交事件，29個國家的國家元首或政府首腦以及來自130多個國家的1500名代表將出席。恰在此時，基于SMB文件共享傳播的蠕蟲病毒攻擊開始了大規模傳播，5月12日晚上20時左右，全球爆發大規模勒索軟件感染事件，用戶只要開機上網就可被攻擊。五個小時內，包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢復文件，這場攻擊甚至造成了教學系統癱瘓，包括校園一卡通系統。

這次的“永恒之藍”勒索蠕蟲，是NSA網絡軍火民用化的全球第一例。一個月前，第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括“永恒之藍”攻擊程序。

惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

目前，“永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。 

解決方法：

根治方法對于Win7及以上版本的操作系統，目前微軟已發布補丁MS17-010 下載地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx修復了“永恒之藍”攻擊的系統漏洞，請立即電腦安裝此補丁。出于基于權限最小化的安全實踐，建議用戶關閉并非必需使用的Server服務，操作方法見應急處置方法節。

對于Windows XP、2003等微軟早已不再提供安全更新的系統，微軟也特別為此漏洞提供了補丁下載，下載地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

恢復階段建議針對重要業務系統立即進行數據備份，針對重要業務終端進行系統鏡像，制作足夠的系統恢復盤或者設備進行替換。 

第1章       終端windows PC及服務器檢查及處理

注意：操作前請備份重要數據。

1.1 檢查系統是否開啟共享服務：

1、打開 開始 按鈕，點擊 運行，輸入cmd，點擊確定

2、輸入命令：netstat -an | find “445” 回車

3、查看結果中是否存在445端口

如下發現445端口開放，代表啟用共享服務

對于無共享文件需求的用戶，強烈建議關閉共享并更新補丁。

1.2 處理辦法一

關閉共享。

以Win7系統為例，操作步驟如下：

—》點擊 開始 按鈕—》在搜索框中輸入 cmd —》右鍵點擊菜單上面出現的cmd圖標，選擇 以管理員身份運行 —》在出來的 cmd 窗口中執行 “net stop server”命令，會話如下圖：

1.3 處理辦法二

更新補丁。

官方更新地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010

請根據操作系統選擇對應更新 （操縱系統位數查看參見文尾“附”部分）

下載完成后雙擊運行安裝。

1.4 處理辦法三（針對mcafee行業用戶）

官方解決辦法：https://kc.mcafee.com/corporate/index?page=content&id=KB89335

1. 登錄mcafee epo

2. 新增自定義規則“Reg-WanaCrypt0r”“file-WanaCrypt0r”

附：

1.5如何檢查windows操作系統位數

1. 使用快捷鍵win+R

2. 輸入CMD

3. 輸入 systeminfo | find “OS”

其中OS版本代表操作系統類型，上圖為win10

4. 輸入 systeminfo | find “系統”

其中“系統類型”代表操作系統位數，上圖為64位

5. 故，PC為win10 64位