WannaCryWcry勒索病毒應急手冊一、概述CNCERT發布的公告稱，5月13日，互聯網上出現對于Windws操作系統的勒索軟件的攻擊案例，勒索軟件利用此前披露的WindwsSMB服務漏洞(對應微軟漏洞公告：MS17-010)攻擊手段，向終端用戶進行滲透傳播，并向用戶勒索比特幣或其他價值物，涉及到國內用戶(已收到多起高校案例報告)，已構成較為嚴重的攻擊威脅。公告指出，綜合CNVD技術組成員單位已獲知的樣本情況和分析結果，該勒索軟件在傳播時基于445端口并利用SMB服務漏洞(MS17-010)，總體可以判斷是由于此前“ShadwBrkers”披露漏洞攻擊工具而導致的后續黑攻擊威脅。當用戶主機系統被該勒索軟件入侵后，彈出勒索對話框，提示勒索目的并向用戶索要比特幣。而用戶主機上的重要數據文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等多種類型的文件，都被惡意加密且后綴名統一修改為“.WNCRY”。目前，安全業界暫未能有效破除該勒索軟件的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。根據CNVD秘書處普查的結果，互聯網上共900余萬臺主機IP暴露445端口(端口開放)，而中國大陸地區主機IP有300余萬臺。CNCERT已經著手對勒索軟件及相關網絡攻擊活動進行監測，目前共發現有向全球70多萬個目標直接發起的對于MS17-010漏洞的攻擊嘗試。二、影響范圍受影響范圍：WinP、Win7、win8、win8.1、win10、server2003、server2008、server2012、server2106等版本未安裝補丁的系統均受影響微軟在2017年3月14日發布了WindwsSMB服務器安全更新KB，由于本次Wannacry蠕蟲事件的巨大影響，微軟總部5月13日決定發布已停服的P和部分服務器版補丁，相應補丁鏈接為：MS17-010補丁：停服系統特別補丁：三、防護建議1、網絡層面在不影響業務情況下，建議在系統出入口與內網各個區域入防火墻上阻斷135、137、138、139、445端口的訪問，建議由網絡管理人員來進行操作。備注：具體操作方法可參照各廠商設備技術手冊2、主機層面開啟系統防火墻，關閉server服務，利用系統防火墻高級設置阻止向445端口進行連接（該操作會影響使用445端口的服務）安裝補丁MS17-010補丁，P和server2003安裝緊急補丁根據實際情況利用加固工具來進行主機層面的應急預防，直接以管理員運行此工具便捷加固加固工具加固思路：1、關閉server服務2、開啟系統防火墻3、添加阻止445端口入站策略，使用腳本請本批處理需要以管理員身份運行，可以通過查看防火墻入站策略來確認批處理是否執行成功，開啟防火墻可能會導致業務端口被默認阻斷，注意配置系統防火墻放行。3、主機手動加固參考（1）開啟系統防火墻點擊開始---控制面板---windws防火墻點擊啟用和關閉windws防火墻啟用防火墻點擊高級設置修改入站規則選擇端口輸入445端口選擇阻止連接命名后即可結束。（2）修改IP安全策略在“開始”菜單選擇“運行”，輸入后回車，打開本地組策略編輯器。依次展開“計算機配置---windws設置---安全設置---ip安全策略，在本地計算機”2以關閉135端口為例（其他端口操作相同）：在本地組策略編輯器右邊空白處右鍵單擊鼠標，選擇“創建IP安全策略”，彈出IP安全策略向導對話框，單擊下一步；在出現的對話框中的名稱處寫“關閉端口”（可隨意填寫），點擊下一步；對話框中的“激活默認響應規則”選項不要勾選，然后單擊下一步；勾選“編輯屬性”，單擊完成。3在出現的“關閉端口屬性”對話框中，選擇“規則”選項卡，去掉“使用添加向導”前邊的勾后，單擊“添加”按鈕。4在彈出的“新規則屬性”對話框中，選擇“IP篩選器列表”選項卡，單擊左下角的“添加”5出現添加對話框，名稱出填“封端口”（可隨意填寫），去掉“使用添加向導”前邊的勾后，單擊右邊的“添加”按鈕在出現的“IP篩選器屬性”對話框中，選擇“地址”選項卡，“源地址”選擇“任何”，“目標地址”選擇“我的IP地址”；

選擇“協議”選項卡，各項設置如圖片中所示。設置好后點擊“確定”。返回到“ip篩選器列表”，點擊“確定”。返回到“新規則屬性”對話框在ip篩選器列表中選擇剛才添加的“封端口”，然后選擇“篩選器操作”選項卡，去掉“使用添加向導”前面的勾，單擊“添加”按鈕在“篩選器操作屬性”中，選擇“安全方法”選項卡，選擇“阻止”選項；在“常規”選項卡中，對該操作命名，點確定選中剛才新建的“新建1”，單擊關閉，返回到“關閉端口屬性“對話框，確認“IP安全規則”中封端口規則被選中后，單擊確定在組策略編輯器中，可以看到剛才新建的“關閉端口”規則，選中它并單擊鼠標右鍵，選擇“分配”選項，使該規則開始應用。同樣的方法你可以添加對限制訪問的445端口的規則4、管理與意識層面漏洞立馬修補系統補丁要立馬更新，對于嚴重漏洞更要抓緊時間修補。被此次勒索軟件事件利用的微軟SMB漏洞，3月份的微軟已相關補丁，當漏洞程序公開的情況下，更要立刻進行補丁更新。關注山鷹網公眾號，能夠立馬獲得此類漏洞動態信息。提高防范意識勒索軟件不止一種，也不僅是通過Windws漏洞進行傳播，也會通過廣撒網的垃圾郵件攜帶惡意軟件的方式進行釣魚攻擊，或者誘使受害人點擊不良網站上的URL進行攻擊。安全防范意識需要進行日常教育、不斷積累。備份如果資料非常重要，建議經常備份，不只是面對勒索軟件如此，各類軟硬件故障也會導致資料消失，定期備份重要數據是非常