5月12日开始，WannaCry勒索蠕虫突然爆发，影响遍及全球100多个国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者，我国的校园网和多家能源企业、政府机构也中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。而由于互联网接入极其有限，朝鲜在这大范围的攻击下守住了一方净土。它几乎是惟一在这场病毒灾难中幸免的国家。

研究人普遍相信，这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具。几个私立网络安全公司的研究人员表示，黑客通过利用名为“Eternal Blue”（永恒之蓝）的NSA代码，导致软件能够自我传播。

一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

针对国内感染状况，5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势，截至到当天下午19:00，国内有28388个机构被“永恒之蓝”勒索蠕虫感染，覆盖了国内几乎所有地区。

在受影响的地区中，江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

一、影响的范围有多广？

目前，勒索病毒在全球爆发，已经影响了100多个国家和地区，包括美国、英国、中国、俄罗斯、西班牙、越南在内的国家和地区都受到这次高危事件的影响。据悉，俄罗斯受影响最为严重，中国目前已经有超过2.4万机器被感染。

1.国外受影响的行业

报告显示，该恶意软件的传播最早是从英国开始的。美联社报道称，英国各家医院的电脑系统周五开始遭遇大规模网络攻击而瘫痪，导致预约取消、电话断线、患者无法看病。英国电脑系统遭到袭击的包括管理伦敦主要医院的巴兹医疗集团(Barts Health group)，集团管理的主要医院有伦敦皇家医院(The Royal London)和圣巴塞洛缪医院(St Bartholomew’s)。路透社的报道说，它无法通过独立渠道核查，此次事件是否是针对6月8日的选举而展开。

英国国民保健署(National Health Service， NHS)称，这些医院明显是受到了“勒索软件”的攻击，攻击者侵入医院电脑系统中，锁定电脑要求用户支付赎金。目前尚无证据表明病人的数据资料遭到泄露。英国国家网络安全中心和英国版“FBI”国家打击犯罪调查局（NCA）已经开始着手调查。

多家西班牙公司遭到网络攻击，包括西班牙电信业巨头Telefonica，攻击者使用勒索软件(ransomware)锁住用户的电脑文件。

美国联邦快递和俄罗斯内政部也都声明表示受到了攻击。

2.国内受影响的行业

国内多个高校校内网、大型企业内网和政府机构专网中招，文档被加密，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。攻击者称需支付比特币解锁。据有关机构统计，目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网已成重灾区。

包括北京、上海、重庆、成都等多城的部分中石油旗下加油站在昨日0点左右突然断网，而因断网目前无法使用支付宝、微信等联网支付方式，只能使用现金。中石油有关负责人表示，怀疑受到勒索病毒攻击，具体情况还在核查处置中。中石油有关负责人表示，目前公司加油站的加油业务和现金支付业务正常运行，但是第三方支付无法使用，怀疑受到病毒攻击，具体情况还在核查处置中。

二、勒索病毒是如何攻击的？

据分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

安全专家发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前某安全中心推出的“NSA武器库免疫工具”，能够一键检测修复NSA黑客武器攻击的漏洞；对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件，该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头，加密如下后缀名的文件：

三、谁在进行攻击？

一些专家说，这种攻击应该是利用了微软系统的一个漏洞。该漏洞其实最早是美国国安局发现的，他们还给漏洞取名为Eternal Blue（永恒之蓝）。

然后，国安局研发的相关工具就被一个名为“影子经纪人”的黑客团体窃取了。 黑客们还尝试在一个网上拍卖中出售它们。

但是，黑客们之后又决定免费提供这些工具，并在4月8日发布了加密密码。

黑客们表示，他们发布密码，是为了对美国总统唐纳德·特朗普表示“抗议”。

当时一些网络安全专家表示，恶意软件可能是真的，但却已经过时，因为微软在3月份就发布了这个漏洞的补丁，但问题在于，很多系统可能尚未安装更新补丁。

微软周五表示，其工程师已经增加了针对WannaCrypt的检测和保护。微软还说，该公司正在为客户提供帮助。

另外，黑客要求用户在被感染后的三天内交纳相当于300美元的比特币，三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除，对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道。提示框左边是计时器，右边则标有付款及检验付款生效的方法。

四、受影响的系统有哪些？

此次“wannacry”勒索病毒疯狂传播的原因是借助了前不久泄露的Equation Group（方程式组织）的“永恒之蓝”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞，该漏洞可影响主流的绝大部分Windows操作系统版本。

MS17-010漏洞主要影响以下操作系统：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。

由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于Windows XP、Windows 7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。

WindowsXP/2003操作系统没有补丁，只要开启了445端口则确认受到影响。

五、个人电脑紧急措施

针对个人电脑需要采取和紧急措施：

1、通过配置临时关闭SMB服务，依次打开控制面板--->网络和 Internet--->网络和共享中心--->查看网络状态和任务--->更改适配器设置--->右键选取使用的网卡，点击属性，取消勾选Microsoft 网络文件和打印机共享，确认后重启电脑。

2、通过防火墙临时关闭SMB服务：依次打开控制面板--->系统和安全--->Windows防火墙--->高级设置--->使用入站规则，阻断tcp协议的445号端口的连接访问。

并保证Windows防火墙处于开启状态：

3、Window7及以上版本电脑通过微软官方更新的MS17-010补丁进行安装更新，可参考：https://support.microsoft.com/zh-cn/help/4012598/title。

（微软不再提供Windows XP/Windows2003系统的安全更新，低版本者建议更新操作系统版本。）

六、各大安全企业应对解决方案

现在，国内各大家安全企业都推出了自己的解决方案，下面界小编为大家一一盘点，排名不分先后。

1

微软

由于本次勒索软件危害范围之广，令微软方面提起重视，微软在今晨已发表声明将采取紧急措施以应对此次病毒袭击。微软宣称使用Windows 10系统的用户尚未受到“WannaCry”的攻击。

1.对已经停止提供安全更新的Windows XP、Windows 8、Windows Server 2003等系统提供紧急安全更新。

2.微软为Windows XP、Windows 8、Windows Server 2003系统提供的安全补丁。

下载地址如下：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 。

3.微软提供免费查扫工具：http://www.microsoft.com/security/scanner/ is designed to detect this threat as well as many others。

2

奇虎360

360产品针对本次勒索病毒事件的处置建议：

1.360天擎终端安全管理系统。安装了360天擎完整的终端安全管理套件的客户，应该开启终端的自动漏洞修复，并及时升级天擎控制台的补丁库，确保与 MS17-010 相关的补丁均已打上。在带宽允许的情况下，可以主动下发漏洞修复任务确保更快速的补丁应用。对于XP和Windows 2003等已经没有补丁支持的系统，可以借助天擎的专杀工具机制，下发脚本对终端的受影响服务进行关闭操作。

2. 360新一代智慧防火墙、下一代极速防火墙早在一个月前就已经通过更新IPS特征库完成了对该攻击的防护。此外，由于该攻击已开始在教育网内泛滥，不排除高校部分开放445端口的主机已被攻击，新一代智慧防火墙基于“智慧发现”、“智慧调查”特性可高效检测、统计产生此类攻击的终端IP，协助用户快速定位已失陷主机以便于及时在终端系统进行处置操作。

3.360天眼未知威胁感知系统的流量探针在第一时间加入了其中几款最严重的远程代码执行漏洞的攻击检测，包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。另外，其他利用工具的检测规则在持续跟进中，请密切关注360天眼流量探针规则的更新通知。

4.360天眼产品的应急处置方案：360天眼流量探针（传感器）通过：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级。

3

安天实验室

安天发布了针对勒索者蠕虫病毒WannaCry的几个应对措施。

1.《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》下载地址为：http://www.antiy.com/response/wannacry.html

2.《安天应对勒索软件“wannacry”防护手册》下载地址为：http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html。

3.《安天应对勒索者蠕虫病毒WannaCry FAQ》下载地址为：http://www.antiy.com/response/Antiy_Wannacry_FAQ.html

4.蠕虫病毒WannaCry免疫工具和扫描工具下载地址为：http://www.antiy.com/tools.html

4

亚信安全

1.亚信安全深度威胁发现设备TDA。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测，让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端，以实施相对应的响应措施。同时，用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。

2.亚信安全服务器深度安全防护系统Deep Security。针对微软远程代码执行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略，用户只需要对虚拟化系统做一次"建议扫描"操作，就能自动应用该策略，无论是有代理还是无代理模式，都能有效防护该勒索软件。

3.亚信安全深度威胁安全网关Deep Edge。Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则 （规则名称：微软MS17 010 SMB远程代码执行1-4 规则号：1133635,1133636,1133637,1133638）。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。

4.亚信安全深度威胁邮件网关DDEI。针对加密勒索软件攻击，用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击，只需在Web渠道通过IPS或防火墙规则即可拦截，但广大用户切不可掉以轻心，因为还有大量的勒索软件攻击是通过邮件渠道发起的，我们还需要在邮件入口处加以防范，防止勒索软件卷土重来。

5.教育网安全缓解措施

在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接；

在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

5

安恒信息

安恒信息提醒广大Windows系统用户：

1.目前微软已发布补丁MS17-010修复了“永恒之蓝”工具所利用的系统漏洞，请尽快为电脑安装此补丁。补丁下载链接：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2.请注意微软只会为仍在服务期内的版本发布补丁，对于较早的已不在服务期内的版本（Windows 7之前版本，Windows Server 2008之前版本），微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本，建议用户部署基本的防火墙，禁止电脑直接使用公网IP。

3.在Windows系统上关闭不必要开放的端口，如445、135、137、138、139等，并关闭网络共享。

4.定期备份重要文件数据。

6

启明星辰

启明星辰为用户提供6大解决方案。

1.未部署端点安全的终端应急解决方案

做好重要文件的备份工作（非本地备份）； 开启系统防火墙；利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）；打开系统自动更新，并检测更新进行安装；停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统；如无需使用共享服务建议关闭该服务。

2.已部署端点安全的终端应急解决方案。如果用户已经部署终端管理类产品，如北信源，天珣、联软等；通过终端管理软件进行内网打补丁；通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量；开启文件审计，只允许word.exe，explore.exe等对文件访问； 升级病毒库，已部署天珣防病毒的用户，支持查杀。

3.网络应急解决方案。在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接；在内网核心主干交换路由设备禁止135/137/139/445端口的连接；如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略；发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

4.已经感染解决方案。断开网络连接，阻止进一步扩散；优先检查未感染主机的漏洞状况（可直接联系启明星辰，提供免费检测工具使用），做好漏洞加固工作后方可恢复网络连接；已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

5.内部排查应急方案。若用户已部署漏洞扫描类产品，可联系厂商获得最新漏洞库的支持；已部署启明星辰天镜漏扫产品的用户，请大家升级至最新漏洞库即可，建议使用漏扫6070以上版本进行扫描，最新漏洞库607000088。实现对内部Windows主机资产的漏洞情况排查；未部署相关产品的用户，可联系厂商获得产品试用应急。

6.无法关闭服务端口的应急解决方案。若用户已部署UTM/IPS入侵防御类产品，可联系厂商获得最新事件库的支持；已部署启明星辰天清入侵防护类产品（IPS/UTM）的用户，请大家升级至最新事件库并下发相应规则即可实现对内部Windows主机的防护；未部署相关产品的用户，可联系厂商获得产品试用应急。

7

迪普科技

迪普安全设备防御方案：更新迪普科技IPS最新版本漏洞特征库，并对14221，14222特征规则配置阻断策略。在迪普科技防火墙设备上对445号端口配置阻断策略。

8

锐捷网络

1.针对终端处理的建议：

（1）及时安装补丁：微软已发布补丁，修复了“永恒之蓝”攻击的系统漏洞，补丁编码MS17-010，请尽快按照如下链接安装https://technet.microsoft.com/zh-cn/library/security/MS17-010。

（2）关闭445端口与相关服务。打开控制面板中的Windows防火墙，并保证防火墙处于启用状态，打开防火墙的高级设置，在“入站规则”中新建一条规则，本地端口号选择445，操作选择阻止连接，同事建议关闭135、137、138、139。

（3）备份与升级。使用U盘、移动硬盘备份电脑中的文件，重要文件采用不可逆的加密算法进行加密。建议使用微软较高版本的windows系统，并自动修复补丁，保持补丁版本的最新。

2.针对防火墙处理建议：

（1）禁止双向135/137/139/445端口的连接建立。

（2）更新病毒库即开启防病毒策略即可。锐捷病毒样本库已于5月12日上午9点更新。

（3）更新IPS特征库，确保关于windows全部漏洞代码的特征，并开启IPS策略。

（4）阻断已知的Wannary 勒索软件C&C服务器。

界小编结语：

在过去几年间，类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞，系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降，类似Mirai等IoT僵尸网络开始成为注意力的焦点。这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在DEP、ASLR等方面的改善， 使一击必杀的系统漏洞确实在日趋减少，主流的攻击面也开始向应用开始转移。在这种表面上的平静之中，以窃密、预制为目的的APT攻击，则由于其是高度隐秘的、难以为IT资产的管理者感知到的攻击，始终未能得到足够的重视。而黑产犯罪的长尾化，针对性的特点，也使其并不依赖极为庞大的受害人群分布，即可获得稳定的黑色收益。因此在过去几年，内网安全风险是围绕高度隐蔽性和定向性展开的，这种风险难以感知的特点，导致内网安全未得到有效的投入和重视。也为导致今天的大规模安全灾难形成了必然基础。勒索软件的一大特点，是其威胁后果是直接可见的。这种极为惨烈的损失，昭示了内网安全的欠账。也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出安全图景，是一种“眼不见为净”式的自欺，无法通过攻击者的检验。