“永恒之蓝”勒索蠕虫爆发预警通告

2017年5月12日夜间开始，互联网爆发大规模勒索者病毒（WannaCry）。感染该病毒后，电脑文档被加密，在桌面上显示窗口，强制用户支付一定数额的比特币才能解锁，给用户造成了巨大的损失。比特币敲诈病毒，主要通过远程桌面（RDP）漏洞或者RDP弱口令、邮件等方式发送传播病毒，病毒一旦运行，对系统中目标文件进行病毒加密。由于比特币病毒版本不断更新，病毒的制作者和攻击者常在境外实施敲诈等犯罪活动，破解难度大、耗时长。分析发现，很多被入侵破坏的单位和个人网络安全防护意识不强，防护手段单一，缺乏网络设备安全管理、重要数据备份、应急处置等制度措施。

本次爆发的勒索软件是一个名为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010（永恒之蓝）。

安全应急处置策略：

1、 对于已经感染勒索蠕虫的机器设备立即进行隔离处置，进行恢复时针对重要业务系统进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘护着设备进行替换。

2、 对于未感染勒索蠕虫的机器设备立即进行数据备份，不点击下载可疑邮件、文件、程序，不访问可疑网站平台。

3、 对尚未发现攻击的机构，网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

4、 对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务。

5、 对于不确定是否成功打补丁的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。机构企业用户正确360天擎安全防护功能，在天擎控制台将病毒库升级至2017-05-13版本，检查天擎补丁库版本，确保补丁库升级到1.0.1.2823版本，该补丁库包含3月、4月、5月的高危漏洞。