360威脅情報中心發(fā)布永恒之藍勒索蠕蟲最新態(tài)勢 國內(nèi)3萬家機構(gòu)被攻陷

5月12日開始，WannaCrypt（永恒之藍）勒索蠕蟲突然爆發(fā)，影響遍及全球近百國家，包括英國醫(yī)療系統(tǒng)、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者，我國的校園網(wǎng)和多家能源企業(yè)、政府機構(gòu)也中招，被勒索支付高額贖金才能解密恢復文件，對重要數(shù)據(jù)造成嚴重損失，全球超10萬臺機器被感染。

（本圖片來自于網(wǎng)上）

針對國內(nèi)感染狀況，5月13日下午360威脅情報中心率先發(fā)布了“永恒之藍”勒索蠕蟲態(tài)勢，截至到當天下午19:00，國內(nèi)有28388個機構(gòu)被“永恒之藍”勒索蠕蟲感染，覆蓋了國內(nèi)幾乎所有地區(qū)。

在受影響的地區(qū)中，江蘇、浙江、廣東、江西、上海、山東、北京和廣西排名前八位。

WannaCrypt（永恒之藍）勒索蠕蟲是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統(tǒng)服務(wù)（SMB、RDP、IIS）的遠程命令執(zhí)行工具，其中就包括“永恒之藍”攻擊程序。

鑒于WannaCrypt（永恒之藍）勒索蠕蟲影響呈現(xiàn)嚴重態(tài)勢，360企業(yè)安全專門為國內(nèi)大型機構(gòu)發(fā)布了永恒之藍勒索蠕蟲緊急處置手冊，幫助國內(nèi)大型機構(gòu)防范永恒之藍勒索蠕蟲。（http://zt.#/1101061855.php?dtid=1101062514&did=490458355）

建議國內(nèi)各大型機構(gòu)采取以下緊急處置措施。

1、 確認影響范圍

l 潛在受影響系統(tǒng)確認

掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放445 SMB服務(wù)端口的終端和服務(wù)器，對于Win7及以上版本的系統(tǒng)確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務(wù)就受影響。

l 已感染蠕蟲系統(tǒng)發(fā)現(xiàn)

被感染的機器屏幕會顯示如下的告知付贖金的界面：

360企業(yè)安全天眼系統(tǒng)已經(jīng)更新了檢測規(guī)則，自動更新規(guī)則以后，對發(fā)生感染的系統(tǒng)會產(chǎn)生告警。

2、應(yīng)急處置方法

在網(wǎng)絡(luò)層面，目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫，360企業(yè)安全強烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問，如果邊界上有IPS和360天堤智慧防火墻之類的設(shè)備，請升級設(shè)備的檢測規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS17-010補丁或關(guān)閉了Server服務(wù)。

在終端層面，如果發(fā)現(xiàn)445端口開放，需要關(guān)閉Server服務(wù)。

360企業(yè)安全天擎團隊已經(jīng)針對WannaCry勒索蠕蟲開發(fā)了一個免疫工具，此程序在電腦上運行以后，現(xiàn)有蠕蟲將不會感染系統(tǒng)。（免疫工具下載地址：http://b.#/other/onionwormimmune）

360企業(yè)安全新一代智慧防火墻（NSG3000/5000/7000/9000系列）和下一代極速防火墻（NSG3500/5500/7500/9500系列）產(chǎn)品系列，通過更新IPS特征庫和應(yīng)用識別特征庫已經(jīng)完成了蠕蟲變種的防護和識別，強烈建議用戶盡快將IPS特征庫及應(yīng)用識別特征庫均升級至“20170513”版本。

對于已經(jīng)感染勒索蠕蟲的機器建議隔離處置。

3、 根治方法

對于Win7及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞，請立即電腦安裝此補丁。

對于Windows XP、2003等微軟按計劃已不再提供安全更新的機器，針對本次影響巨大的網(wǎng)絡(luò)攻擊事件，微軟特別提供了補丁，請到如下網(wǎng)址下載安裝：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

出于基于權(quán)限最小化的安全實踐，建議用戶關(guān)閉并非必需使用的Server服務(wù)，操作方法見 應(yīng)急處置方法 節(jié)。

4、 恢復階段

建議針對重要業(yè)務(wù)系統(tǒng)立即進行數(shù)據(jù)備份，針對重要業(yè)務(wù)終端進行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復盤或者設(shè)備進行替換。