一、勒索軟件情況

綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)（奇虎360公司、安天公司等）已獲知的樣本情況和分析結(jié)果，該勒索軟件在傳播時基于445端口并利用SMB服務(wù)漏洞（MS17-010），總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導(dǎo)致的后續(xù)黑產(chǎn)攻擊威脅。4月16日，CNCERT主辦的CNVD發(fā)布《關(guān)于加強防范Windows操作系統(tǒng)和相關(guān)軟件漏洞攻擊風(fēng)險的情況公告》，對影子紀(jì)經(jīng)人“Shadow Brokers”披露的多款涉及Windows操作系統(tǒng)SMB服務(wù)的漏洞攻擊工具情況進行了通報（相關(guān)工具列表如下），并對有可能產(chǎn)生的大規(guī)模攻擊進行了預(yù)警:

有可能通過445端口發(fā)起攻擊的漏洞攻擊工具

工具名稱 主要用途

ETERNALROMANCE  SMB 和NBT漏洞，對應(yīng)MS17-010漏洞，針對139和445端口發(fā)起攻擊，影響范圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD  SMB和NETBIOS漏洞，對應(yīng)MS10-061漏洞，針對139和445端口，影響范圍：Windows XP、Windows 2003

EDUCATEDSCHOLAR SMB服務(wù)漏洞，對應(yīng)MS09-050漏洞，針對445端口

ERRATICGOPHER SMBv1服務(wù)漏洞，針對445端口，影響范圍：Windows XP、 Windows server 2003，不影響windows Vista及之后的操作系統(tǒng)

ETERNALBLUE SMBv1、SMBv2漏洞，對應(yīng)MS17-010，針對445端口,影響范圍：較廣，從WindowsXP到Windows 2012

ETERNALSYNERGY SMBv3漏洞，對應(yīng)MS17-010，針對445端口，影響范圍：Windows8、

Server2012

ETERNALCHAMPION SMB v2漏洞，針對445端口

當(dāng)用戶主機系統(tǒng)被該勒索軟件入侵后，彈出如下勒索對話框，提示勒索目的并向用戶索要比特幣。而對于用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件，都被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統(tǒng)的方式來解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。

二、應(yīng)急處置措施

建議廣大用戶及時更新Windows已發(fā)布的安全補丁更新，同時在網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機資產(chǎn)、數(shù)據(jù)備份方面做好如下工作：

（一）關(guān)閉445等端口(其他關(guān)聯(lián)端口如: 135、137、138、139)的外部網(wǎng)絡(luò)訪問權(quán)限，在服務(wù)器上關(guān)閉不必要的上述服務(wù)端口(參見附件1)；

（二）加強對445等端口（其他關(guān)聯(lián)端口如: 135、137、138、139)的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問審計，及時發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為；

（三）及時更新操作系統(tǒng)補丁；

（四）安裝殺毒軟件并及時更新到最新版本；

（五）不要輕易打開來源不明的電子郵件；

（六）定期在不同的存儲介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個人數(shù)據(jù)。

附工具：
1、Windows系列補丁鏈接：http://pan.baidu.com/s/1kVLrVJD
2、免疫工具和清除工具：http://pan.baidu.com/s/1sl8UyHv

備注：

（1）清除工具可以對已經(jīng)感染的主機進行勒索軟件的清除，但無法恢復(fù)已經(jīng)被加密的文件。

（2）免疫工具提供禁用系統(tǒng)服務(wù)、修改hosts文件、設(shè)置ipsec本地組策略等多種方式對蠕蟲勒索軟件WannaCry感染傳播途徑進行有效阻斷，實現(xiàn)主機免疫功能。

三、服務(wù)電話

24小時服務(wù)電話：13916831235（小向） 718758（公安短號）

余小麗 15800701516

江麗 13482782985

技術(shù)服務(wù)電話：

金國光：15355370221

金繼華：13621908274

服務(wù)監(jiān)督電話：

杜衛(wèi)明15801806067

四、我們將持續(xù)關(guān)注

萬宗網(wǎng)絡(luò)科技（上海）有限公司

2017年5月13日