2017年5月12日20時左右，全球爆發大規模勒索軟件感染事件，波及99個國家，并仍在迅速蔓延。我國大量行業企業內網大規模感染。

WanaCry爆發，99個國家被勒索

據悉，該病毒名為“WannaCry”，利用的漏洞是微軟 Windows 的 EternalBlue MS17-010 SMB。傳播方式為內部網絡傳播，包括 VPN 連接、訪客用的 WI-FI 等能連接到內部網的方式，通過機器開放端口 445 進入。攻擊者稱需支付價值300美元的比特幣解鎖，3日后金額翻倍。如用戶拒絕支付，電腦中的全部資料將于7日內被刪除。

讓世界看看，中國的網絡安全力量！

事件爆發后，我國網絡安全界迅速炸開鍋，各安全廠商紛紛啟動應急措施，各網絡媒體也紛紛及時進行信息報道，中國的網絡安全力量在危及關頭迅速覺醒，快速應對此次世界性的網絡危機。

5月13日凌晨，聯軟科技的百人安全服務團隊立即行動起來，在過去的短短一天一夜里，已經迅速為 130 多家各行業用戶進行了緊急安全排查和加固，并且還在持續加班加點為更多用戶逐一排查。此次世界級安全事件，充分體現了中國網絡安全界一致對外、迅速解決網絡危及的行動力，讓世界見識到了什么是網絡安全強國該有的力量。

針對WanaCry，正確的安全排查步驟

目前大型企業、高校、政府網絡安全管理方面可以趕快測定是否受到了影響：掃描內網，發現所有開放445 SMB服務端口的終端和服務器，對于Win7及以上版本的系統確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務就受影響。未安裝聯軟產品的網絡用戶可以嘗試以下解決方案：

1、網絡層面

強烈建議網絡管理員在網絡邊界的防火墻上阻斷445 端口的訪問，如果邊界上有IPS 和下一代防火墻，請升級設備的檢測規則到最新版本并設置相應漏洞攻擊的阻斷，直到確認網內的電腦已經安裝了MS07-010補丁或關閉了Server服務。微軟MS17-010補丁下載址：https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、終端層面

關閉操作系統不必要開放的端口，如445、135、137、138、139端口，關閉網絡共享服務。

3、感染處理

對于已經感染該病毒的機器，建議隔離處置。

4、預防要點

a、強化網絡安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開。

b、盡快（今后定期）備份自己電腦中的重要文件資料到移動硬盤、U盤，備份完后脫機保存該磁盤。

c、建議仍在使用windows xp， windows 2003操作系統的用戶盡快升級到 window 7/windows 10，或 windows 2008/2012/2016操作系統。

聯軟用戶安全加固步驟

1、臨時禁用445端口

通過聯軟的IT安全運維管理平臺，分發腳本，對企業內網所有的終端的445端口進行臨時關閉，阻斷病毒的傳播途徑。但由于微軟不建議關閉SMBv2和SMBv3，涉及一些業務和系統服務在使用該服務，直接關閉會影響業務或系統的正常運行，所以只能臨時關閉；

2、更新補丁

利用聯軟平臺，逐步有序的檢查和更新MS17-010對應補丁，修補漏洞。特別說明，補丁推送必須先測試，然后按步驟有序推進，避免由于環境中應用與補丁沖突導致終端運行不正常或影響業務運行；

3、啟用準入策略

啟用準入控制，禁止外來不安全終端（未更新MS17-010對應補丁和更新病毒庫的終端）入網；

4、聯系我們

需要更多技術資料，請撥打聯軟科技技術熱線：400-6288-116。

良好的安全意識，讓勒索軟件無“利”可圖！

從以往的安全事件爆發中可以看出，中國已經成為勒索軟件的重災國家之一，安全防護措施迫在眉睫。因此，在我們日常的網絡使用過程中需要建立良好的安全防范意識，提前準備以便防患于未然。

完整的勒索軟件事件

勒索軟件的入侵

勒索軟件有多種傳輸方式，最常見的是電子郵件中附帶已感染文件和路過式下載，一旦訪問到受感染的網頁就可以在用戶不知情的情況下加載惡意勒索軟件。基于來源控制，可以將勒索軟件拒之門外。對郵件和訪問網頁進行分析，檢測是否包含有惡意軟件，可隔離沒有業務相關性的可疑廣告郵件及社交媒體網站，在更為安全的環境中執行或辦公。

聯軟：郵件和 Web 的訪問控制可以從來源上拒絕勒索軟件。

勒索軟件的危害行為

勒索軟件成功傳輸進用戶終端后，依賴于操作系統、清理軟件和殺毒工具的傳統保護措施往往很難發覺，靜態的簽名對比方案在勒索軟件變體更新和盜用簽名的手段面前無力抗衡。對此，基于行為的檢測機制才是發現和阻止勒索軟件攻擊的關鍵。大部分勒索軟件都有著一系列的共同行為特征，比如創建多線程遍歷所有磁盤，嘗試刪除 Windows 的卷影副本，修改注冊表及服務項，對相關文件進行加密修改等。對于疑為勒索軟件的行為跡象，可進行嚴格監控，審批重要進程的行為，并攔截惡意活動。保證任何惡意進程被發現時都可即時終止，惡意文件立刻隔離。

聯軟：檢測應用程序和文件訪問的行為可以發現并阻止勒索軟件。

勒索軟件的擴散

惡意軟件往往有很強的自我增殖能力和流轉性，立足于某個網絡漏洞或應用漏洞，入侵后通過交互訪問，從而擴散出去。為此在內網建立并實施權限與特權制度，使得并非所有用戶的感染都會影響到關鍵的業務系統、程序平臺、數據文件。同時對網絡和端口進行隔離，保證其他區域的感染不會輕易擴散到安全區域。控制數據交換通道，使得勒索軟件攻擊無法大規模地爆發，也不會引起到重要信息的泄露。

聯軟：數據流轉控制、業務系統隔離能在感染范圍上限制勒索軟件。

如何應對勒索軟件？

事前準備

良好的備份和恢復計劃對減小損失幫助極大。勒索軟件對文件的加密和破壞作用極大，往往很難恢復，保障重要數據和珍貴信息不被劫持就顯得極為重要。設置可控的安全磁盤，將重要文件和珍貴信息放置在安全環境下進行存儲和交互，對轉入轉出地數據進行加密管控。勒索軟件無法識別遍歷，對受保護數據的劫持加密也就無從談起了。

事中防御

由上文對整個“勒索”過程的分析，針對每個階段我們都可提供相應的安全措施：

入侵階段：通過“郵件和 Web 的訪問控制”，從來源上拒絕勒索軟件。

危害階段：通過“檢測應用程序和文件訪問的行為”，發現并阻止勒索軟件。

擴展階段：通過“數據流轉控制、業務系統隔離”，在感染范圍上限制勒索軟件。

總而言之，無論勒索軟件千變萬化，最終都是通過劫持信息、加密文件來達到目的。從這一點著手，通過兩個策略即可完成大部分的任務：進程方面，嚴格控制合法進程，如doc僅允許被winword.exe讀取；文件方面，將物理文件置于安全區，僅允許合法進行讀寫該區域。

事后追蹤

防御空白期、0day 漏洞等一系列不可預計的情況存在，使得網絡攻防戰是一個永恒的話題。往往很難保證信息安全有著絕對防御，于是審計就成為了一件很有必要的事情。

對審計信息的鑒定分析，可以幫助你追蹤到：勒索軟件來自何處，潛伏了多久，做了什么，是否已完全被清除。這些信息能幫助我們規避一些原本不必要的損失，并確保該勒索軟件不會重復感染。

未來趨勢

縱覽勒索軟件的發展歷程，由于有“利”可圖，許多惡意軟件開發都趨于這一方向，運行模式、加密技術、偽裝能力都在不斷的發展成熟，總會以更專業化的技術、更隱蔽的傳播方式來劫持在線運營的企業機構。與此相對，信息安全也不再是為您的業務添加的某種工具。信息安全和業務經營是一個有機的整體，一個高度融合和協同合作的共贏體系。