13 2017,05

✘÷≈ " ₹ ✔α 永恒之藍(lán) 勒索病毒蠕蟲 →λ®★ ∞σ αβ♣

文(wén)章(zhāng)摘要(yào)： φ‍ 基于SMB文(•Ωwén)件(jiàn)共享傳播的(de)蠕蟲病毒攻擊開(kā€λ★ i)始了(le)大(dà)規模傳播，5月(yuè)12日‍≠¥∞(rì)晚上(shàng)20時(shí¶&↕)左右，…

由于一(yī)帶一(yī)路(lù)高('↕☆gāo)峰論壇明(míng)天在北(běi)φ₩€∏京召開(kāi)，這(zhè)是(shì)今年(nián₽×♠∏)中國(guó)最大(dà)的(de)外(wài≤↑←)交事(shì)件(jiàn)，29個(gè)國(guó)家(jiā)的(de)國(guó)→♠家(jiā)元首或政府首腦(nǎo)以及來(lái)自(zì↔‍∑γ)130多(duō)個(gè)國(guó)家(jiā)的(de)1500名代表将出席。恰在此時(shí)，基于SMB文(wén)件(jiàn)共享傳播的(dσ'e)蠕蟲病毒攻擊開(kāi)始了(le)大(dà)規模∏☆©©傳播，5月(yuè)12日(rì)晚上(shàng)20時(shí)左右，全球爆發大(dà)規模勒索↔≈軟件(jiàn)感染事(shì)件(jiàn)，用(yòng)戶隻要(×↓yào)開(kāi)機(jī)上(shàng)網就(¶•Ω¶jiù)可(kě)被攻擊。五個(gè)小(xiǎo)時(shí)內(₽÷∑nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及國(guó)"∑↓內(nèi)多(duō)個(gè)高(gāo)校(xiào)校(x±<γ★iào)內(nèi)網、大(dà)型企業(yè)內(nλ≠èi)網和(hé)政府機(jī)構專網中招，被©β勒索支付高(gāo)額贖金(jīn)（有(yǒu)的(de)需要(yà±'♥o)比特币）才能(néng)解密恢複文(wén)件(ji ♠ ≠àn)，這(zhè)場(chǎng)攻擊甚至造成了(le)教學系統癱瘓，包括校✔↕β∞(xiào)園一(yī)卡通(tōng)系統。

這(zhè)次的(de)“永恒之藍(l♠✘₽☆án)”勒索蠕蟲，是(shì)NSA網絡軍火(huǒ)民(mín)用(yòng)化(huà)的(de)全球第一₹♦¶(yī)例。一(yī)個(gè)月(yuè)前，第四批 σ₽♣NSA相(xiàng)關網絡攻擊工(gōng)具及文(wén)檔被Shadow Brokers組織公布，包含了(le)涉及多(duō)個(gè)Windows系統服務（SMB、RDP、IIS）的(de)遠(yuǎn)程命令執行(xín←✘'★g)工(gōng)具，其中就(jiù)包括“永恒之藍♣≤↓≠(lán)”攻擊程序。

惡意代碼會(huì)掃描開(kāi)放(fàng)445文(wén)件(jiàn)共享端口的(de)Windows機(jī)器(qì)，無需用(yòng)戶任≤"何操作(zuò)，隻要(yào)開(kāi)機(j∑©ε✔ī)上(shàng)網，不(bù)法分(fēn)子(∏↔≠zǐ)就(jiù)能(néng)在電(diàn)腦(nǎo)和(hé)服‍→₩務器(qì)中植入勒索軟件(jiàn)、遠(yuǎλ✘n)程控制(zhì)木(mù)馬、虛拟貨币挖礦機(jī)等惡意程序。

目前，“永恒之藍(lán)”傳播的(de)勒索病毒以ONION和(hé)WNCRY兩個(gè)家(jiā)族為(wèi)主，受害機(jī)器(qì)ε∞π的(de)磁盤文(wén)件(jiàn)會(¶¥φhuì)被篡改為(wèi)相(xiàngπ$)應的(de)後綴，圖片、文(wén)檔≠₹φ•、視(shì)頻(pín)、壓縮包等各類資料都(dōu)無法正常打' 開(kāi)，隻有(yǒu)支付贖金(jīn)才能(néngφ≈→™)解密恢複。這(zhè)兩類勒索病毒，勒索金(jīn)額分(fēn)别是 ♣(shì)5個(gè)比特币和(hé)300美(měi)元，折合人(rén)民(mín)币分(fēn)别為(wèiφ↑™)5萬多(duō)元和(hé)2000多(duō)元。

解決方法：

根治方法對(duì)于Win7及以上(shàng)版本的(de)操作(zuò)系統，目前微(w±→ēi)軟已發布補丁MS17-010 下(xià)載地(dì)址：https://technet.micr¶∞osoft.com/zh-cn/library/απsecurity/ms17-010.aspx修複了(le)“永恒之藍(lán)”攻擊的(de÷↑←‌)系統漏洞，請(qǐng)立即電(diàn)腦(nǎ♠→o)安裝此補丁。出于基于權限最小(xiǎo)化(huà)的(de‌Ω)安全實踐，建議(yì)用(yòng)戶關閉并非必需使用(yòng)↓βα"的(de)Server服務，操作(zuò)方法見(jiàn)應急處置方法節。

對(duì)于Windows XP、2003等微(wēi)軟早已不(bù)再γ↕'提供安全更新的(de)系統，微(wēi)軟也(yě)特别為(wèi)此漏洞提✘∞↑供了(le)補丁下(xià)載，下(xià)載地(dì)址：http:±φ≠$//www.catalog.update.microsoft.com/S↕★★earch.aspx?q=KB4012598。

恢複階段建議(yì)針對(duì)重要(yào)業(yè)務系統立₽σ∑即進行(xíng)數(shù)據備份，針對(duì)δ$重要(yào)業(yè)務終端進行(xíng)系統鏡像，制(zhì)作÷σ(zuò)足夠的(de)系統恢複盤或者設備進行(xíng)替換。

第1章(zhāng) < γ→; 終端windows PC及服務器(qì)檢查及處理(lǐ)

注意：操作(zuò)前請(qǐng)備份重要(yào)數(shù)據。₹

1.1 檢查系統是(shì)否開(kāi)啓共享服務：

1、打開(kāi) 開(kāi)始按鈕，點♦φ‍擊運行(xíng)，輸入cmd，點擊确定

2、輸入命令：netstat -an | find “445” 回車(chē)

3、查看(kàn)結果中是(shì)否存在‍•₽445端口

如(rú)下(xià)發現(xiàn)445端"€口開(kāi)放(fàng)，代表啓用(yòng)共享服務

對(duì)于無共享文(wén)件(jiàn)需求的(de)'→≥¶用(yòng)戶，強烈建議(yì)關閉共享并更新補丁。

1.2 處理(lǐ)辦法一(yī)

關閉共享。

以Win7系統為(wèi)例，操作(zuò)步驟如(rú)下(x↕©Ωσià)：

—》點擊開(kāi)始按鈕—》在搜索框中輸入 cmd —》右鍵點擊菜單上(shàng)面出現(xiàγ™n)的(de)cmd圖标，選擇以管理(lǐ)員(yuán)身(shēn)份運行(xín≤↑γ∏g) —》在出來(lái)的(de) cmd 窗(chuāng)口中執行(xíng) “net stop server”命令，會(huì)話(huà)如(rú)下(xià)圖：