5月13日，母親節(jié)前夕，一覺睡起來，整個虛擬網絡世界就開始出現(xiàn)一種名為wannacry的災害。他們綁架并加密我們的信息，威脅我們交出比特幣。界面如下。

什么?全是英文看不懂?這威脅軟件還有中文版的哦。

目前已經有多家高校緊急向安全中心求助，喵的你看這勒索軟件多惡毒，專門挑假日和畢業(yè)論文上交的時間爆發(fā)。高校機房一旦有一臺被感染，其后果不堪設想。

所以我們要正確認識這勒索軟件的本質，和制定防御對策。

此類勒索病毒傳播擴散利用了基于445端口的SMB漏洞，部分學校感染臺數(shù)較多，大量重要信息被加密，只有支付高額的比特幣贖金才能解密恢復文件，損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers(影子經紀人)公布的EquationGroup(方程式組織)使用黑客工具包有關。其中的ETERNALBLUE模塊是SMB漏洞利用程序，可以攻擊開放了 445 端口的 Windows機器，實現(xiàn)遠程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補丁，修復了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經在互聯(lián)網上廣泛流傳，除了捆綁勒索病毒，還發(fā)現(xiàn)有植入遠程控制木馬等其他多種遠程利用方式。

據統(tǒng)計，目前國內平均每天有不低于5000臺機器遭到基于ETERNALBLUE的遠程攻擊，并且攻擊規(guī)模還在迅速擴大。

此次利用的SMB漏洞影響以下未自動更新的操作系統(tǒng)：

Windows XP / Windows 2000 / Windows 2003

Windows Vista / Windows Server 2008 / WindowsServer 2008 R2

Windows 7 /Windows 8 / Windows 10

Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016

個人預防措施：

1.未升級操作系統(tǒng)的處理方式(不推薦，僅能臨時緩解)：

啟用并打開“Windows防火墻”，進入“高級設置”，在入站規(guī)則里禁用“文件和打印機共享”相關規(guī)則。

2.升級操作系統(tǒng)的處理方式(推薦)：

建議用戶使用自動更新升級到Windows的最新版本。

學校緩解措施：

1.在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接；

2.在校園網絡核心主干交換路由設備禁止135/137/139/445端口的連接。

建議加固措施：

1.及時升級操作系統(tǒng)到最新版本;

2.勤做重要文件非本地備份;

3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。

真*對策!!

上面說的解決方案都很棒棒的，而且很有道理的，但是我們并不是只能被動防御。對該勒索軟件的研究也應該同步進行。別一看到這加密的界面就害怕了。

其實這東西挺紙老虎的。

假如不幸遇到，嗯就上面那個框的加密勒索軟件。請務必不要做什么其他的騷操作。你只需要：

• 先斷個網。
• 開啟windows防火墻。
• 在斷網狀態(tài)下運行某些聯(lián)網程序，如Windows時間同步之類的。
• 同步當然會失敗，然后你修改系統(tǒng)時間至1年之后。
• 這個勒索軟件……就無響應并且失效了。

[[191112]]

經驗證，該方法對win7 8 10系統(tǒng)皆有效果。(截止至發(fā)文前的勒索軟件版本都可用此方法解決。)時間2017.5.13 16:30 如遇險情請及時修復，如不可用請等待我們的最新解決辦法。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文