2017年5月12日起， 全球性爆發(fā)基于Windows網(wǎng)絡共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼， 經(jīng)研究發(fā)現(xiàn)這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡攻擊事件。“永恒之藍”通過掃描開放445文件共享端口的Windows電腦甚至是電子信息屏，無需用戶進行任何操作，只要開機聯(lián)網(wǎng)，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。

【感染全球的勒索信息提示】

利用445文件共享端口實施破壞的蠕蟲病毒，曾多次在國內爆發(fā)。因此，運營商很早就針對個人用戶將445端口封閉，但是教育網(wǎng)并未作此限制，仍然存在大量開放的445端口。據(jù)有關機構統(tǒng)計，目前國內平均每天有5000多臺電腦遭到NSA“永恒之藍”黑客武器的遠程攻擊，教育網(wǎng)已成重災區(qū)!

目前，亞信安全已截獲WannaCry/Wcry勒索軟件，并將其命名為：RANSOM_WANA.A 和RANSOM_WCRY.I。早在5月2日，亞信安全服務器深度安全防護系統(tǒng)Deep Security 和亞信安全深度威脅發(fā)現(xiàn)設備TDA 已發(fā)布補丁能夠抵御該蠕蟲在內網(wǎng)的傳播。

據(jù)亞信安全中國病毒響應中心監(jiān)測：該勒索軟件利用了微軟SMB遠程代碼執(zhí)行漏洞CVE-2017-0144，微軟已在今年3月份發(fā)布了該漏洞的補丁。2017年4月黑客組織影子經(jīng)紀人(Shadow Brokers)公布的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者在借鑒了該“EternalBlue”后進行了這次全球性的大規(guī)模勒索攻擊事件。

針對此次“永恒之藍”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件，我們目前提出相關產品的應對措施及風險應對方案：

◆亞信安全深度威脅發(fā)現(xiàn)設備TDA

TDA于2017年4月26日已發(fā)布檢測規(guī)則(Rule ID 2383)，針對透過微軟SMB遠程代碼執(zhí)行漏洞CVE-2017-0144(MS17-010)所導致的相關網(wǎng)絡攻擊進行檢測。利用此漏洞的攻擊包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。

TDA 的內網(wǎng)攻擊檢測能力是針對源頭的零日漏洞進行實時有效的網(wǎng)絡攻擊行為檢測，讓用戶能快速從網(wǎng)絡威脅情報的角度定位內網(wǎng)遭受攻擊的終端，以實施相對應的響應措施。同時，用戶可透過產品聯(lián)動方式與亞信安全終端安全產品 OfficeScan 以及亞信安全網(wǎng)關產品 DeepEdge 進行有效聯(lián)動以阻斷其攻擊。

◆亞信安全服務器深度安全防護系統(tǒng)Deep Security

針對微軟遠程代碼執(zhí)行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已發(fā)布了針對所有Windows 系統(tǒng)的IPS策略，用戶只需要對虛擬化系統(tǒng)做一次"建議掃描"操作，就能自動應用該策略，無論是有代理還是無代理模式，都能有效防護該勒索軟件。

◆亞信安全深度威脅安全網(wǎng)關Deep Edge

Deep Edge在4月26日就發(fā)布了針對微軟遠程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則 (規(guī)則名稱：微軟MS17 010 SMB遠程代碼執(zhí)行1-4 規(guī)則號：1133635,1133636,1133637,1133638)?？稍诰W(wǎng)絡邊界及內網(wǎng)及時發(fā)現(xiàn)并攔截此次加密勒索軟件攻擊。

◆亞信安全深度威脅郵件網(wǎng)關DDEI

針對加密勒索軟件攻擊，用戶需要在Web和Mail兩個入口嚴加防范。雖然此次攻擊是黑客利用系統(tǒng)漏洞發(fā)起的勒索軟件攻擊，只需在Web渠道通過IPS或防火墻規(guī)則即可攔截，但廣大用戶切不可掉以輕心，因為還有大量的勒索軟件攻擊是通過郵件渠道發(fā)起的，我們還需要在郵件入口處加以防范，防止勒索軟件卷土重來。

◆亞信安全防毒墻網(wǎng)絡版OfficeScan

針對亞信安全OfficeScan，目前各個版本可以通過更新最新病毒庫進行攔截該勒索病毒。同時即將于6月底發(fā)布的OfficeScan 12測試版，在使用機器學習引擎不更新病毒庫的環(huán)境中，已能夠成功攔截該勒索軟件。機器學習引擎使用人工智能技術，通過海量數(shù)據(jù)訓練而成，可以有效甄別惡意軟件特征，不需要等待病毒庫，就可以幫助用戶有效的攔截各種未知的威脅軟件。

其他防護建議：

未升級操作系統(tǒng)的處理方式(不推薦，僅能臨時緩解)：啟用并打開“Windows防火墻”，進入“高級設置”，在入站規(guī)則里禁用“文件和打印機共享”相關規(guī)則。升級操作系統(tǒng)的處理方式(推薦)：建議廣大師生使用自動更新升級到Windows的最新版本。

教育網(wǎng)安全緩解措施：

在邊界出口交換路由設備禁止外網(wǎng)對校園網(wǎng)135/137/139/445端口的連接;在校園網(wǎng)絡核心主干交換路由設備禁止135/137/139/445端口的連接。

建議加強系統(tǒng)加固：

及時升級操作系統(tǒng)到最新版本;勤做重要文件非本地備份;停止使用Windows XP、Windows 2003等微軟已不再提供安全更新服務的操作系統(tǒng)。

亞信安全詳解WannaCry/Wcry勒索軟件感染流程

◆利用SMB遠程代碼執(zhí)行漏洞感染系統(tǒng);

◆在被感染系統(tǒng)中執(zhí)行惡意文件，并開啟服務;

◆惡意文件執(zhí)行后，釋放真正的勒索軟件;

◆加密系統(tǒng)中的文件，并提示勒索信息;

◆被加密后的文件擴展名被統(tǒng)一改為“.WNCRY”，勒索軟件攻擊者索要相當于300美元的比特幣贖金。

【W(wǎng)annaCry/Wcry勒索軟件感染流程】

此次勒索軟件事件特別針對高校產生了極大影響，可能會在更廣闊的終端消費者群體內爆發(fā)，亞信安全提醒廣大用戶提高安全防范意識，做好數(shù)據(jù)備份策略，采用更加積極主動的工具制定事前、事中、事后的安全策略，才能應對隱藏在網(wǎng)絡世界中的不法分子。