病毒介绍

2017年5月12日起， 全球性爆发勒索病毒WannaCry，经研究，此次为不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入病毒。

系统中招后，病毒会加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”，病毒更改终端背景图片提出勒索要求，如下：

一旦电脑感染了Wannacry病毒，受害者需支付等价300美金的比特币的勒索金才可解锁。否则，电脑就无法使用，且文件会被一直封锁。

应对措施

一 、个人电脑的隔离与加固

1、针对已被感染的计算机

已被感染的计算机请立即隔离，禁用所有有线及无线网卡或直接拔掉网线。

不要删除或损坏被加密数据，待后续解决方案。

2、针对暂未被感染的计算机

请下载下列工具进行防护。下列软件需要使用管理员权限运行，方法是在相应文件上点击右键，选择以管理员身份运行。

（1）为加强保护，避免被感染，请下载智安全Wannacry免疫工具，在计算机上执行，并选择“立即免疫”。

下载工具，一键免疫：>>智安全Wannacry免疫工具（暂不支持XP系统）（http://sec.sangfor.com.cn/download?file=WannaCryTool.zip）解压后以管理员身份运行WannaCry免疫工具.exe。

工具使用说明：请以系统管理员权限运行本工具；执行本工具时，如有杀软提醒，请选择“允许”；系统补丁未更新的，请按如下指示进行更新：http://sec.sangfor.com.cn/vulns/314.html

（2）360安全卫士于4月19日推出“NSA武器库免疫工具”，可一键检测修复漏洞、关闭高风险服务，从而全面免疫预防NSA黑客武器。支持所有Windows系统。

NSA武器库免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe

针对不同版本Windows用户，360“NSA武器库免疫工具”可以扫描系统环境，精准检测出NSA武器库使用的漏洞是否已经修复，并提示用户安装相应的补丁。针对XP、2003等无补丁的系统版本用户，防御工具能够帮助用户关闭存在高危风险的服务，从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。

（3）启用防火墙，阻断445等端口

针对“WannaCry”蠕虫攻击，提供了“WannaCry”蠕虫病毒加固工具，下载路径如下： https://pan.topsec.com.cn/index.php/s/56FK6FWr5sXsZn9

下载后运行 安服开启防火墙并关闭445端口脚本（使用管理员权限运行）则可以启用系统自带的防火墙关闭445端口。

（4）使用windows更新安装补丁。Xp系统需尽快更新系统到win10版本。

此次攻击主要利用了MS17-010漏洞，主要影响以下操作系统：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。

由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于Windows XP、Windows 7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。

WindowsXP/2003操作系统没有补丁，只要开启了445端口则确认受到影响。请务必尽快修复。

信息与网络中心

2017-5-15