安全社区

海峡信息留意至近期大规模爆发的WannaCry/Wcry勒索软件蠕虫病毒，该勒索软件已经在全球爆发大规模感染事件，仅5.12一天，我国多数企事业单位、机场、医院、学校、政府机关感染受损严重。

该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144，微软在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人（Shadow Brokers）公布的方程式组织（Equation Group）使用的“EternalBlue”中包含了该漏洞的利用程序，而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。

WannaCry/Wcry勒索软件感染流程

Ø  利用SMB远程代码执行漏洞感染系统

Ø  在被感染系统中执行恶意文件，并开启服务

Ø  恶意文件执行后，释放真正的勒索软件

Ø  加密系统中的文件，并提示勒索信息

 被加密后的文件扩展名被统一改为“.WNCRY”，勒索软件攻击者索要相当于300美元的比特币赎金。

预防措施

除了安装Windows系统补丁之外，还应该对网络通讯进行隔离控制，避免病毒软件通过网络扩散传播，而使用防火墙进行隔离控制是快速有效预防的方法。

对于使用海峡信息产品的客户，海峡信息给予如下防护措施：

01 用黑盾防火墙的用户，可利用黑盾防火墙阻断135、137-139、445等高危端口，可较好的抑制勒索软件蠕虫病毒的传播（该操作会影响使用445端口的服务）。

处理方式（操作指南）可访问如下链接：

http://mp.weixin.qq.com/s/9m0o0EDpJEXYKXf98Rz_7w

02 采用黑盾下一代防火墙、IPS的用户，可在线或离线升级病毒、IPS特征库，既可进行阻断。

特征库与Windows补丁下载地址如下，请及时更新。

http://oa.si.net.cn:8081/d/bc0b40b5ec/

如在线升级无法进行，可进一步致电海峡信息获取。

03 升级微软MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序。

微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，具体版本对应的补丁下载链接，请参考如下：

【直接下载】http://pan.baidu.com/s/1ckw44e（海峡信息提供，请放心使用）
【官网下载】：详细信息请参考链接：（https://technet.microsoft.com/library/security/MS17-010）

04 通过开启服务器、终端电脑系统防火墙方法，可防护自身遭遇蠕虫攻击。

详细方式请参考：http://mp.weixin.qq.com/s/nCOlNQxuBETTDE8KV2YArA

05  对于已经感染的终端或局域网客户。可进一步与海峡信息安全服务中心或各区域技术支持中心取得联系。