一、事件概况

2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击。

我国大量行业企业内网大规模感染，教育网受损严重，攻击造成了教学系统瘫痪，甚至包括校园一卡通系统。

众多师生的电脑文件被病毒加密，只有支付赎金才能恢复，由于正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

二、WannaCry勒索软件

此次勒索软件的主角“WannaCry”（也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”），它会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。

软件利用美国国家安全局黑客武器库泄露的“永恒之蓝”发起病毒攻击。

事实上，微软已经在三月份发布相关漏洞（MS17-010）修复补丁，但很多用户都没有及时修复更新，因而遭到此次攻击。

Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。

一旦电脑感染了Wannacry病毒，受害者要高达300美元比特币的勒索金才可解锁。否则，电脑就无法使用，且文件会被一直封锁。

勒索软件将受感染电脑里的文件使用AES-128算法加密，感染后的文件扩展名会变为.UIWIX，.WNCRY扩展名，需要解密秘钥才可以还原文件。

在文件被加密的同时，会弹出一个名为Wanna Decryptor 2.0的弹出窗口。说明了你已经遭到攻击以及如何恢复文件。

建议中招的小伙伴们也不要急着支付赎金，思考下是否有备用数据/快照。即便支付赎金也不一定能解锁，因为攻击者也不一定知道是哪台电脑支付了赎金。

三、应急处置方法

1、防火墙屏蔽445端口

2、利用 Windows Update 进行系统更新

3、关闭 SMBv1 服务3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于客户端操作系统：

打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。重启系统。

对于服务器操作系统：

打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。重启系统。

3.2 适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注册表。

注册表路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建项︰ SMB1，值0（DWORD）重新启动计算机

最后提醒大家，重要的数据备份，备份，再备份。重要的事情说三遍！

作者：阿里聚安全

从国家互联网应急中心获悉，“WannaCry”病毒属于蠕虫式勒索软件，通过利用编号为MS17—010的Windows漏洞（被称为“永恒之蓝”）主动传播感染受害者。截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

周一（15日）工作日首日，是电脑开机的高峰，也是勒索蠕虫传播的高峰，360安全监测与响应中心向与勒索蠕虫病毒关系密切的服务器管理员、桌面终端管理员、普通用户分别提供了完整的安全开机操作指南。在安全开机操作指南中，360企业安全向用户提供了详细的攻击预警通告，以及专业的工具软件包。用户可以选择通过安全U盘或在未被感染的电脑从网络上下载，并按照指南中的流程进行安全操作，就可以最大限度避免勒索蠕虫的侵害。

中国国家互联网应急中心表示，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

及时更新操作系统补丁

据了解，目前，国内多家安全机构与企业正在密切关注与监测该病毒的发展与传播情况。国家互联网应急中心建议广大用户及时更新Windows已发布的安全补丁，在网络边界、内部网络区域、主机资产、数据备份方面关闭445、135、137、139等端口（可以认为是计算机与外界通讯的出口）的外部网络访问权限，加强这些端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；安装并及时更新杀毒软件；不要轻易打开来源不明的电子邮件；并定期在不同的存储介质上备份信息系统业务和个人数据。

在防范上，腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全技术专家马劲松指出，一是临时关闭端口。Windows用户可以使用防火墙过滤个人电脑，并且临时关闭135、137、445端口3389远程登录（如果不想关闭3389远程登录，至少也是关闭智能卡登录功能），并注意更新安全产品进行防御，尽量降低电脑受攻击的风险。

二是及时更新Windows已发布的安全补丁。在3月MS17—010漏洞刚被曝出的时候，微软已经针对Win7、Win10等系统在内提供了安全更新；此次事件爆发后，微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。

三是利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载各个安全软件开启免疫功能，并将文件拷贝至安全、无毒的U盘；再将指定电脑在关闭Wi—Fi、拔掉网线、断网状态下开机，并尽快备份重要文件；然后通过U盘使用“勒索病毒免疫工具”离线版，进行一键修复漏洞；联网即可正常使用电脑。

四是备份。重要的资料一定要备份，谨防资料丢失。

五是杀毒软件，360里面有勒索病毒服务，是免费的。