5月13日，母親節(jié)前夕，一覺(jué)睡起來(lái)，整個(gè)虛擬網(wǎng)絡(luò)世界就開(kāi)始出現(xiàn)一種名為wannacry的災(zāi)害。他們綁架并加密我們的信息，威脅我們交出比特幣。界面如下。

什么?全是英文看不懂?這威脅軟件還有中文版的哦。

目前已經(jīng)有多家高校緊急向安全中心求助，喵的你看這勒索軟件多惡毒，專門(mén)挑假日和畢業(yè)論文上交的時(shí)間爆發(fā)。高校機(jī)房一旦有一臺(tái)被感染，其后果不堪設(shè)想。

所以我們要正確認(rèn)識(shí)這勒索軟件的本質(zhì)，和制定防御對(duì)策。

此類勒索病毒傳播擴(kuò)散利用了基于445端口的SMB漏洞，部分學(xué)校感染臺(tái)數(shù)較多，大量重要信息被加密，只有支付高額的比特幣贖金才能解密恢復(fù)文件，損失嚴(yán)重。此次遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的EquationGroup(方程式組織)使用黑客工具包有關(guān)。其中的ETERNALBLUE模塊是SMB漏洞利用程序，可以攻擊開(kāi)放了 445 端口的 Windows機(jī)器，實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補(bǔ)丁，修復(fù)了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多種攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上廣泛流傳，除了捆綁勒索病毒，還發(fā)現(xiàn)有植入遠(yuǎn)程控制木馬等其他多種遠(yuǎn)程利用方式。

據(jù)統(tǒng)計(jì)，目前國(guó)內(nèi)平均每天有不低于5000臺(tái)機(jī)器遭到基于ETERNALBLUE的遠(yuǎn)程攻擊，并且攻擊規(guī)模還在迅速擴(kuò)大。

此次利用的SMB漏洞影響以下未自動(dòng)更新的操作系統(tǒng)：

Windows XP / Windows 2000 / Windows 2003

Windows Vista / Windows Server 2008 / WindowsServer 2008 R2

Windows 7 /Windows 8 / Windows 10

Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016

個(gè)人預(yù)防措施：

1.未升級(jí)操作系統(tǒng)的處理方式(不推薦，僅能臨時(shí)緩解)：

啟用并打開(kāi)“Windows防火墻”，進(jìn)入“高級(jí)設(shè)置”，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。

2.升級(jí)操作系統(tǒng)的處理方式(推薦)：

建議用戶使用自動(dòng)更新升級(jí)到Windows的最新版本。

學(xué)校緩解措施：

1.在邊界出口交換路由設(shè)備禁止外網(wǎng)對(duì)校園網(wǎng)135/137/139/445端口的連接；

2.在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。

建議加固措施：

1.及時(shí)升級(jí)操作系統(tǒng)到最新版本;

2.勤做重要文件非本地備份;

3.停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。

真*對(duì)策!!

上面說(shuō)的解決方案都很棒棒的，而且很有道理的，但是我們并不是只能被動(dòng)防御。對(duì)該勒索軟件的研究也應(yīng)該同步進(jìn)行。別一看到這加密的界面就害怕了。

其實(shí)這東西挺紙老虎的。

假如不幸遇到，嗯就上面那個(gè)框的加密勒索軟件。請(qǐng)務(wù)必不要做什么其他的騷操作。你只需要：

• 先斷個(gè)網(wǎng)。
• 開(kāi)啟windows防火墻。
• 在斷網(wǎng)狀態(tài)下運(yùn)行某些聯(lián)網(wǎng)程序，如Windows時(shí)間同步之類的。
• 同步當(dāng)然會(huì)失敗，然后你修改系統(tǒng)時(shí)間至1年之后。
• 這個(gè)勒索軟件……就無(wú)響應(yīng)并且失效了。

[[191112]]

經(jīng)驗(yàn)證，該方法對(duì)win7 8 10系統(tǒng)皆有效果。(截止至發(fā)文前的勒索軟件版本都可用此方法解決。)時(shí)間2017.5.13 16:30 如遇險(xiǎn)情請(qǐng)及時(shí)修復(fù)，如不可用請(qǐng)等待我們的最新解決辦法。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者(微信號(hào)：JW-assoc)】

戳這里，看該作者更多好文