一、紧急安全预警通报

近期有网络用户反映电脑被病毒攻击，文档被加密，攻击者称需支付比特币解锁。

攻击者利用Windows系统默认开放的445端口在高校校园网内进行传播，不需要用户进行任何操作即可进行感染。

感染后设备上的所有文件都将会被加密，一旦被加密即使支付也不一定能够获得解密密码。

据悉，“勒索”病毒是全国性的，疑似通过校园网传播，十分迅速。

请各位客户朋友们高度重视，严加防范。请各企业网络安全负责人及相关技术人员立刻关闭445端口并尽快升级系统补丁，做好防护措施。 

 

二、漏洞信息 

这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。 

三、处理建议 

 

（一）确认影响范围 

扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS07-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。 

（二）应急处置方法 

 

1.网络层面

目前利用漏洞进行攻击传播的蠕虫开始泛滥，建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。 

 

2.终端层面

暂时关闭Server服务。

检查系统是否开启Server服务：

(1)打开 开始 按钮，点击 运行，输入cmd，点击确定

(2)输入命令：netstat -an 回车

(3)查看结果中是否还有445端口

如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：

点击 开始 按钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd图标，选择 以管理员身份运行 ，在出来的 cmd 窗口中执行 “net stop server”命令

 

 

（三）感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

 

1.Win7、Win8、Win10的处理流程 

（1）打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

       （2）选择启动防火墙，并点击确定 

（3）点击高级设置

（4）点击入站规则，新建规则

（5）选择端口，下一步

（6）特定本地端口，输入445，下一步 

（7）选择阻止连接，下一 

（8）配置文件，全选，下一步 

（9）名称，可以任意输入，完成即可。 

 

2.XP系统的处理流程 

(1)依次打开控制面板，安全中心，Windows防火墙，选择启用 

(2)点击开始，运行，输入cmd，确定执行下面三条命令 

net  stop rdr

net  stop srv

net  stop netbt 

(3)由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。

3.根治方法

对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。网址为：

https://technet.microsoft.com/zh-ch/library/security/MS17-010

出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务。

对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe 。这些老操作系统的机器建议加入淘汰替换队列，尽快进行升级。

 

四、恢复阶段

建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。

五、补丁下载地址

20170513微软为已停服的XP和部分服务器版发布的特别补丁下载地址 

winxp特别补丁KB4012598
      winxp3 32位 Security update for Windows XP SP3 (KB4012598)

winxp2 64位 Security update for Windows XP SP2 for x64-based Systems (KB4012598)

win2003特别补丁KB4012598

2003SP2 32位 Security update for Windows Server 2003 (KB4012598)

2003SP2 64位 Security update for Windows Server 2003 for x64-based Systems (KB4012598)

win2008R2补丁 KB4012212、KB4012215

March, 2017 Security Only Quality update for Windows Server 2008 R2 for x64-based Systems (KB4012212)

March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based  Systems (KB4012215)

win7补丁 KB4012212、KB4012215
win7 32位

March, 2017 Security Only Quality update for Windows 7 (KB4012212)

March, 2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)

win7 64位

March, 2017 Security Only Quality update for Windows 7 for x64-based Systems (KB4012212)

March, 2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems (KB4012215)

win10 1607补丁 KB4013429
win10 1607 32位

Cumulative update for Windows 10 Version 1607 (KB4013429)

win10 1607 64位

Cumulative update for Windows 10 Version 1607 for x64-based Systems (KB4013429)

win2012R2补丁 KB4012213、KB4012216

March, 2017 Security Only Quality update for Windows Server 2012 R2 (KB4012213)

March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)

win2016补丁 KB4013429

Cumulative update for Windows Server 2016 for x64-based Systems (KB4013429)

建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到 window 7/windows 10，或 windows 2008/2012/2016操作系统。