1.背景介紹

? ? ? 2017年5月12日起， 全球性爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼， 經(jīng)研究發(fā)現(xiàn)這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。“永恒之藍(lán)”通過掃描開放445文件共享端口的Windows電腦甚至是電子信息屏，無需用戶進(jìn)行任何操作，只要開機(jī)聯(lián)網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等一系列惡意程序。

? ? ? 該蠕蟲迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-010，微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了這次全球性的大規(guī)模攻擊事件。

? ? ??經(jīng)過分析，該蠕蟲名稱為“WannaCry”，感染該蠕蟲后會加密系統(tǒng)中的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件，被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”，由于加密強(qiáng)度大、沒有密鑰的情況下，暴力破解需要極高的運(yùn)算量，導(dǎo)致目前無法解密該勒索軟件加密的文件。

? ? ? 部分運(yùn)營商在主干網(wǎng)絡(luò)上封禁了445端口，而內(nèi)部專用網(wǎng)絡(luò)對安全風(fēng)險(xiǎn)的敏感度相對較低，所以受蠕蟲的影響較大。

2.大批量設(shè)備解決方案

? ? ??已部署遠(yuǎn)望終端安全監(jiān)管防護(hù)系統(tǒng)的用戶，請大家按以下流程操作。

2.1阻止擴(kuò)散

? ? ? 從管理界面打開“防火墻”策略，并按如下配置后分配到所有設(shè)備。

2.2減少感染途徑

? ? ? 從管理界面打開“外設(shè)控制”策略，并按如下配置后分配到所有設(shè)備，減少通過USB移動存儲設(shè)備的感染風(fēng)險(xiǎn)。

2.3評估感染面

? ? ??從管理界面打開“進(jìn)程運(yùn)行檢查”策略，并按如下配置后分配到所有設(shè)備。

? ? ? taskse.exe、taskdl.exe、 @[email protected]為WannaCry的運(yùn)行進(jìn)程。

? ? ??按上述配置后如果計(jì)算機(jī)被感染了，客戶端會自動斷開該計(jì)算機(jī)的網(wǎng)絡(luò)連接，避免擴(kuò)散，同時(shí)被感染的設(shè)備信息會上報(bào)至管理端，管理員可聯(lián)系當(dāng)事人排除問題。

2.4隔離受感染的設(shè)備

? ? ?如果大量設(shè)備被感染，建議從管理界面打開“未注冊認(rèn)證”策略，并按如下配置后分配到所有設(shè)備，確保未被感染設(shè)備的安全。

2.5分發(fā)修復(fù)工具

? ? ??從管理界面打開“文件分發(fā)”策略，將修復(fù)工具（第三方提供）分發(fā)到所有感染的設(shè)備，然后通過2.3評估感染消除情況。

3.單機(jī)解決方案

? ? ?未部署遠(yuǎn)望終端安全監(jiān)管防護(hù)系統(tǒng)的用戶，請按以下方案逐臺處理。

3.1端口開放檢查

? ? ?開始---->運(yùn)行---->cmd，或者是window+R組合鍵，調(diào)出命令窗口，輸入命令：netstat -ano，列出所有端口的情況。在列表中我們觀察開放的445端口。

3.2本地防火墻配置方法

? ? ??本地防火墻配置需要逐臺設(shè)備調(diào)整，步驟如下：

3.3手動安裝補(bǔ)丁

? ? ? 下載微軟補(bǔ)丁進(jìn)行修復(fù)，鏈接地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx