一、概述

　　這個周末,，對于網(wǎng)絡(luò)安全圈來說可以用“血雨腥風(fēng)”來形容,。北京時間5月12日開始，全球范圍內(nèi)爆發(fā)了基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的“永恒之藍(lán)”勒索病毒,。截止發(fā)稿時為止,，包括美國、俄羅斯以及整個歐洲在內(nèi)的100多個國家,，及國內(nèi)眾多大型企事業(yè)單位內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招,，電腦磁盤上的文件被加密，用戶被勒索支付高額贖金才能解密恢復(fù)文件,。由于病毒使用的是高強(qiáng)度的RSA和AES加密算法,，目前還無法破解。換句話說,，用戶一旦中招,，基本無解。

　　鑒于病毒還在全面?zhèn)鞑?，如暫時無法進(jìn)行系統(tǒng)處置,，內(nèi)網(wǎng)用戶應(yīng)盡量先斷網(wǎng)關(guān)機(jī)，等候使用離線工具處理,。根據(jù)實(shí)際情況配置指南的版本會動態(tài)持續(xù)更新,。

　　經(jīng)分析，判定該勒索軟件是一個名稱為“wannacry”的新家族,。該勒索軟件迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-010,，微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序,，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了這次全球性的大規(guī)模攻擊事件,。

二、開機(jī)防護(hù)操作指南

關(guān)于尚未感染的用戶群體的詳細(xì)防護(hù)步驟如下：

1）關(guān)閉網(wǎng)絡(luò),，開啟系統(tǒng)防火墻,；

2）利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接（該操作會影響使用445端口的服務(wù)）及網(wǎng)絡(luò)共享；

3）打開網(wǎng)絡(luò),，開啟系統(tǒng)自動更新,，并檢測更新進(jìn)行安裝；

2.1 Win7,、Win8,、Win10操作指南：

1)關(guān)閉網(wǎng)絡(luò)：拔下網(wǎng)線，關(guān)閉無線路由器,，已開機(jī)PC可關(guān)閉本機(jī)無線網(wǎng)卡,，或禁用網(wǎng)絡(luò)連接,。

2)打開控制面板-系統(tǒng)與安全-Windows防火墻，點(diǎn)擊左側(cè)啟動或關(guān)閉Windows防火墻

3)選擇啟動防火墻,，并點(diǎn)擊確定

4)點(diǎn)擊高級設(shè)置

5)點(diǎn)擊入站規(guī)則,，新建規(guī)則，以445端口為例

6)選擇端口,、下一步

7)選擇特定本地端口,，輸入445，下一步

8)選擇阻止連接,，下一步

9)配置文件，全選,，下一步

10) 名稱,，可以任意輸入，完成即可,。

11) 插入網(wǎng)線,，啟用網(wǎng)卡，恢復(fù)網(wǎng)絡(luò),。

12) 開啟系統(tǒng)自動更新,，并檢測更新進(jìn)行安裝

注：在系統(tǒng)更新完成后，如果業(yè)務(wù)需要使用SMB服務(wù),，將上面設(shè)置的防火墻入站規(guī)則刪除即可,。

2.2XP系統(tǒng)操作流程

1、依次打開控制面板,，安全中心,，Windows防火墻，選擇啟用

2,、通過注冊表關(guān)閉445端口,，單擊“開始”——“運(yùn)行”，輸入“regedit”,，單擊“確定”按鈕,，打開注冊表。

3,、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,，選擇“Parameters”項(xiàng)，右鍵單擊,，選擇“新建”——“DWORD值”,。

4、將DWORD值命名為“SMBDeviceEnabled”,，值修改為0,。

5、重啟機(jī)器，查看445端口連接已經(jīng)沒有了,。

6,、鑒于本次Wannacry蠕蟲事件的影響巨大，微軟總部決定對已停服的XP和部分服務(wù)器版本發(fā)布特別補(bǔ)丁,，微軟公告詳情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,。

被感染的用戶補(bǔ)救方案

1）首先拔掉網(wǎng)線，與內(nèi)網(wǎng)其他機(jī)器隔離,；

2）參考“二,、開機(jī)防護(hù)操作指南”操作免疫,；

3）使用蠕蟲勒索軟件專殺工具（WannaCry）清除病毒,；

4）使用PE盤進(jìn)入操作系統(tǒng)，將可用文件進(jìn)行備份,，并對備份數(shù)據(jù)進(jìn)行離線處理,；

5）如果重裝系統(tǒng)，重裝后重復(fù)2),、3)步驟,，并參考做好防護(hù)工作。