勒索病毒攻擊應急防范

北京時間5月12日，互聯網上出現針對Windows操作系統的勒索軟件（Wannacry）攻擊案例。勒索軟件利用此前披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進行滲透傳播，并向用戶勒索比特幣或其他價值物。包括高校、能源等重要信息系統在內的多個國內用戶受到攻擊，已對我國互聯網絡構成較為嚴重的安全威脅。

當用戶主機系統被該勒索軟件入侵后，彈出勒索對話框，提示勒索目的并向用戶索要比特幣。而對于用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件后綴名被統一修改為“。WNCRY”。目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。

?

應急處置措施

1. 查看445端口是否開放并決定是否關停server服務：

點擊“開始”->“運行”->輸入“cmd”->輸入“netstat -an ”->回車->查看445端口狀態

如果處于“listening”->暫時關停server服務：

點擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運營”->執行“net stop server”命令

2. 個人用戶臨時解決方案

開啟系統防火墻->利用系統防火墻高級設置阻止向445端口進行連接->安裝相應系統安全更新

win7/win8/win10：

控制面板->系統與安全->啟用Windows防火墻->點擊"高級設置"->點擊“入站規則”->選擇"新建規則"->規則類型選擇“端口”->應用于“TCP”協議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規則應用”全部勾選->規則名稱任意輸入并點擊完成

winxp：

控制面板->安全中心->啟用“Windows防火墻”->點擊“開始”->“運行”->輸入“cmd”->依次執行“net ?stop rdr”、“net ?stop srv”和“net ?stop netbt”三條命令->升級操作系統版本并進行安全更新。

3、建議：及時更新Windows已發布的安全補丁更新，同時在網絡邊界、內部網絡區域、主機資產、數據備份方面做好如下工作：

　　（一）關閉445等端口（其他關聯端口如：135、137、139）的外部網絡訪問權限，在服務器上關閉不必要的上述服務端口（具體操作請見參考鏈接）；

　　（二）加強對445等端口（其他關聯端口如：135、137、139）的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

　　（三）及時更新操作系統補丁。

　　（四）安裝并及時更新殺毒軟件。

　　（五）不要輕易打開來源不明的電子郵件。

　　（六）定期在不同的存儲介質上備份信息系統業務和個人數據。