2017年5月12日起， 全球性爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲(chóng)惡意代碼， 經(jīng)研究發(fā)現(xiàn)這是不法分子通過(guò)改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。“永恒之藍(lán)”通過(guò)掃描開(kāi)放445文件共享端口的Windows電腦甚至是電子信息屏，無(wú)需用戶進(jìn)行任何操作，只要開(kāi)機(jī)聯(lián)網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等一系列惡意程序。

利用445文件共享端口實(shí)施破壞的蠕蟲(chóng)病毒，曾多次在國(guó)內(nèi)爆發(fā)。因此，運(yùn)營(yíng)商很早就針對(duì)個(gè)人用戶將445端口封閉，但是教育網(wǎng)并未作此限制，仍然存在大量開(kāi)放的445端口。據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計(jì)，目前國(guó)內(nèi)平均每天有5000多臺(tái)電腦遭到NSA“永恒之藍(lán)”黑客武器的遠(yuǎn)程攻擊，教育網(wǎng)已成重災(zāi)區(qū)!

由于病毒在周五晚8點(diǎn)左右爆發(fā)，尚有很多電腦處于關(guān)機(jī)狀態(tài)，周一工作日開(kāi)機(jī)需謹(jǐn)慎對(duì)待，建議用戶周一開(kāi)電腦之前先拔掉網(wǎng)線。

一、周一開(kāi)機(jī)指南

1. 防護(hù)第一關(guān)，開(kāi)關(guān)域名免疫(建議IT部門員工操作)

亞信安全研究發(fā)現(xiàn)，該勒索病毒運(yùn)行后會(huì)首先請(qǐng)求一個(gè)秘密開(kāi)關(guān)域名

[www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea].com(注意，“[ ]”是為了防止誤操作點(diǎn)擊刻意添加，實(shí)際域名中無(wú)“[ ]”)，請(qǐng)求失敗后即開(kāi)始執(zhí)行加密;相反，請(qǐng)求成功后立即退出，不執(zhí)行加密。如果企業(yè)內(nèi)網(wǎng)機(jī)器沒(méi)有互聯(lián)網(wǎng)訪問(wèn)權(quán)限，建議用戶在內(nèi)網(wǎng)修改此開(kāi)關(guān)域名

[www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea].com的內(nèi)網(wǎng)解析，并且將解析IP指向企業(yè)內(nèi)部在線的web服務(wù)器，從而實(shí)現(xiàn)免疫。如果內(nèi)網(wǎng)機(jī)器具有互聯(lián)網(wǎng)訪問(wèn)權(quán)限，則無(wú)須采取額外措施。

(注意：以上方法在已知樣本中測(cè)試有效，未知樣本可能無(wú)效。)

2. 開(kāi)機(jī)前準(zhǔn)備工具(建議IT部門員工操作)

✓ 下載亞信安全MS17-010局域網(wǎng)掃描工具，掃描局域網(wǎng)哪些機(jī)器沒(méi)有打MS17-010漏洞對(duì)應(yīng)的補(bǔ)丁程序，便于管理員有針對(duì)性的處理沒(méi)有打補(bǔ)丁機(jī)器。

亞信安全局域網(wǎng)掃描工具

工具下載地址：

http://support.asiainfo-sec.com/Anti-Virus/Tool/亞信科技局域網(wǎng)MS17-010漏洞掃描工具.zip

✓ 下載亞信安全端口掃描工具，掃描局域網(wǎng)中哪些機(jī)器開(kāi)放了445端口，便于管理員有針對(duì)性的處理打開(kāi)445端口的機(jī)器。

亞信安全端口掃描工具

工具下載地址：

http://support.asiainfo-sec.com/Anti-Virus/Tool/亞信科技端口掃描工具.zip

✓ 下載WannaCry/Wcry勒索病毒免疫工具，該工具可以關(guān)閉勒索病毒利用漏洞服務(wù)及445端口，還可以下載MS17-010對(duì)應(yīng)的補(bǔ)丁程序，下載清除工具，下圖為工具運(yùn)行界面：

WannaCry/Wcry勒索病毒免疫工具

免疫工具下載地址：

http://support.asiainfo-sec.com/Anti-Virus/Tool/亞信科技wannacry免疫工具.zip

✓ 下載WannaCry/Wcry勒索病毒專殺工具，下載地址：

32位系統(tǒng)

http://support.asiainfo-sec.com/Anti-Virus/Tool/supportcustomizedpackage.exe

64位系統(tǒng)

http://support.asiainfo-sec.com/Anti-Virus/Tool/supportcustomizedpackage_64.exe

✓ 下載專殺工具使用說(shuō)明，下載地址：

http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

✓ 如果網(wǎng)內(nèi)有微軟停止服務(wù)的系統(tǒng)(XP和WindowsServer2003)，請(qǐng)下載微軟發(fā)布的針對(duì)停止服務(wù)系統(tǒng)的特別安全補(bǔ)丁。詳細(xì)信息請(qǐng)參考鏈接：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

✓ 下載MS17-010對(duì)應(yīng)的Microsoft Windows SMB 服務(wù)器安全更新 (4013389)補(bǔ)丁程序。詳細(xì)信息請(qǐng)參考鏈接：(https://technet.microsoft.com/library/security/MS17-010)

二、對(duì)亞信安全產(chǎn)品服務(wù)器端進(jìn)行配置：

1. 亞信安全OSCE

1) 啟用防火墻功能，關(guān)閉445等相關(guān)端口

啟用防火墻

配置防火墻

加入禁止445端口訪問(wèn)的規(guī)則。

策略配置后，會(huì)使用禁止445端口數(shù)據(jù)包

2) 啟動(dòng)爆發(fā)阻止功能，禁止端口和具體病毒文件寫入系統(tǒng)。

啟用爆發(fā)阻止，設(shè)置時(shí)間為65535(長(zhǎng)期)

封閉端口(雙向)

在爆發(fā)阻止中禁止對(duì)文件和文件夾寫入，添加如下文件禁止寫入。

mssecsvc.exe 
tasksche.exe 
b.wnry 
c.wnry 
r.wnry 
s.wnry 
t.wnry 
u.wnry 
Taskdl.exe 
Taskse.exe 

后期可以不斷加入我們發(fā)現(xiàn)的新的病毒文件名字。

啟用爆發(fā)阻止，確定

“爆發(fā)阻止啟動(dòng)時(shí)通知用戶”勾選時(shí)，用戶會(huì)收到如下通知，不勾選則不會(huì)通知客戶端。

策略生效后，客戶端445端口禁止訪問(wèn)

客戶端出的445端口也會(huì)禁止訪問(wèn)

當(dāng)我們禁止的文件名寫入時(shí)，會(huì)被拒絕，無(wú)法寫入。

3) 啟動(dòng)OSCE的反勒索軟件引擎

啟用行為監(jiān)控設(shè)置

選用阻止勒索軟件功能。

功能啟用后，會(huì)阻止非授權(quán)的加密。

注意：?jiǎn)⒂迷摴δ埽赡軙?huì)對(duì)出現(xiàn)客戶端誤判，當(dāng)客戶有加密軟件時(shí)，需要添加例外操作。

2. 亞信安全TDA

亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA于2017年4月26日已發(fā)布檢測(cè)規(guī)則(Rule ID 2383)，針對(duì)透過(guò)微軟SMB遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144(MS17-010)所導(dǎo)致的相關(guān)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)。利用此漏洞的攻擊包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。TDA 的內(nèi)網(wǎng)攻擊檢測(cè)能力是針對(duì)源頭的零日漏洞進(jìn)行實(shí)時(shí)有效的網(wǎng)絡(luò)攻擊行為檢測(cè)，讓用戶能快速?gòu)木W(wǎng)絡(luò)威脅情報(bào)的角度定位內(nèi)網(wǎng)遭受攻擊的終端，以實(shí)施相對(duì)應(yīng)的響應(yīng)措施。同時(shí)，用戶可透過(guò)產(chǎn)品聯(lián)動(dòng)方式與亞信安全終端安全產(chǎn)品 OfficeScan 以及亞信安全網(wǎng)關(guān)產(chǎn)品 DeepEdge 進(jìn)行有效聯(lián)動(dòng)以阻斷其攻擊。

(1) Deep Security

針對(duì)微軟遠(yuǎn)程代碼執(zhí)行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已發(fā)布了針對(duì)所有Windows 系統(tǒng)的IPS策略，用戶只需要對(duì)虛擬化系統(tǒng)做一次"建議掃描"操作，就能自動(dòng)應(yīng)用該策略，無(wú)論是有代理還是無(wú)代理模式，都能有效防護(hù)該勒索軟件。

1) 啟用入侵防御。在策略----入侵防御規(guī)則中----選中和MS17-010相關(guān)的補(bǔ)丁。

2) 啟用防火墻禁止445端口訪問(wèn)

(2) Deep Edge

Deep Edge在4月26日就發(fā)布了針對(duì)微軟遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則 (規(guī)則名稱：微軟MS17 010 SMB遠(yuǎn)程代碼執(zhí)行1-4 規(guī)則號(hào):1133635, 1133636, 1133637, 1133638)。可在網(wǎng)絡(luò)邊界及內(nèi)網(wǎng)及時(shí)發(fā)現(xiàn)并攔截此次加密勒索軟件攻擊。

(3) DDEI

針對(duì)加密勒索軟件攻擊，用戶需要在Web和Mail兩個(gè)入口嚴(yán)加防范。雖然此次攻擊是黑客利用系統(tǒng)漏洞發(fā)起的勒索軟件攻擊，只需在Web渠道通過(guò)IPS或防火墻規(guī)則即可攔截，但廣大用戶切不可掉以輕心，因?yàn)檫€有大量的勒索軟件攻擊是通過(guò)郵件渠道發(fā)起的，我們還需要在郵件入口處加以防范，防止勒索軟件卷土重來(lái)。

3. 開(kāi)機(jī)及后續(xù)操作步驟

➢ 第一步：拔掉主機(jī)網(wǎng)線后開(kāi)機(jī)。

➢ 第二步：部署亞信安全WannaCry/Wcry勒索病毒免疫工具。

➢ 第三步：如果系統(tǒng)已經(jīng)感染W(wǎng)annaCry/Wcry勒索病毒，請(qǐng)使用專殺工具對(duì)系統(tǒng)進(jìn)行查殺。

➢ 第四步：已經(jīng)加密的文件可以使用EasyRecover等數(shù)據(jù)工具進(jìn)行恢復(fù)，可以恢復(fù)部分加密文件。

➢ 第五步：重啟電腦，連接網(wǎng)絡(luò)，打開(kāi)系統(tǒng)自動(dòng)更新功能，檢測(cè)并安裝更新程序，也可以使用亞信安全WannaCry/Wcry勒索病毒免疫工具進(jìn)行補(bǔ)丁安裝。

4. 非亞信安全用戶開(kāi)機(jī)指南

➢ 第一步：拔掉主機(jī)網(wǎng)線后開(kāi)機(jī)

➢ 第二步：部署亞信安全WannaCry/Wcry勒索病毒免疫工具。

➢ 第三步：如果系統(tǒng)已經(jīng)感染W(wǎng)annaCry/Wcry勒索病毒，請(qǐng)離線安裝亞信安全OfficeScan客戶端，并對(duì)系統(tǒng)進(jìn)行掃描，清除勒索病毒，離線安裝包下載地址

32位：http://support.asiainfo-sec.com/Anti-Virus/Tool/20170513_32.zip

64位：http://support.asiainfo-sec.com/Anti-Virus/Tool/20170513_64.zip

➢ 第四步：已經(jīng)加密的文件可以使用EasyRecover等數(shù)據(jù)工具進(jìn)行恢復(fù)，可以恢復(fù)部分加密文件。

➢ 第五步：重啟電腦，連接網(wǎng)絡(luò)，打開(kāi)系統(tǒng)自動(dòng)更新功能，檢測(cè)并安裝更新程序，也可以使用亞信安全WannaCry/Wcry勒索病毒免疫工具進(jìn)行補(bǔ)丁安裝。