北京时间5月12日，一场互联网领域的“生化危机”正在全球上演。令人不安的情况仍在继续：互联网上出现针对Windows操作系统的勒索软件（Wannacry）攻击案例。勒索软件利用此前披露的Windows SMB服务漏洞（对应微软漏洞公告：MS17-010）攻击手段，向终端用户进行渗透传播。该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。目前已经波及99个国家。包括高校、能源等重要信息系统在内的多个国内用户受到攻击，已对我国互联网络构成较为严重的安全威胁。

此次勒索事件与以往相比最大的亮点在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的报道称此次攻击为“永恒之蓝”。

MS17-010漏洞指的是，攻击者利用该漏洞，向用户机器的445端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但是在中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。

一、勒索软件情况

北京东方网域新兴科技有限公司已获知的样本情况和分析结果，该勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。北京东方网域新兴科技有限公司并对有可能产生的大规模攻击进行了预警:

表1： 有可能通过445端口发起攻击的漏洞攻击工具

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。通过分析病毒，对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

图1： 勒索软件界面图（来源：北京东方网域新兴科技有限公司）

图2： 用户文件被加密（来源：北京东方网域新兴科技有限公司）

二、应急处置措施

北京东方网域新兴科技有限公司已经着手对勒索软件及相关网络攻击活动进行监测，5月13日9时30分至12时，境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试，发起攻击尝试的IP地址（包括进行攻击尝试的主机地址以及可能已经感染蠕虫的主机地址）数量9300余个。建议广大用户及时更新Windows已发布的安全补丁更新，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：

（一）关闭445等端口(其他关联端口如:135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口(具体操作请见参考链接)；

（二）加强对445等端口（其他关联端口如:135、137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；

（三）及时更新操作系统补丁。

（四）安装并及时更新杀毒软件。

（五）不要轻易打开来源不明的电子邮件。

（六）定期在不同的存储介质上备份信息系统业务和个人数据。

专家防范建议

WannaCry勒索病毒可能进一步蔓延，高校、银行、医院等高危易感用户而言将是极大挑战。由于截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。虽然目前监控到的数据并没有完全证实WannaCry 2.0勒索病毒已经来袭，但出现新变种的可能性非常大，提醒广大用户，务必强化网络安全意识，陌生链接不点击，陌生文件不要下载，陌生邮件不要打开，电脑安装并开启杀毒软件！

对于网站服务型用户，尤其是金融行业此次收到冲击最大，故建议采用“无招胜有招”的方式，使用东方网域的只能节点的防御分析功能和ip防御隐藏的机制，来保护服务器的ip地址，由于此次攻击针对的是windows漏洞发起，故保护ip和windows操作系统被探知是首要的工作；其次利用东方网域旗下的防御吧产品可以对服务器端口进行保护，在网站服务的宽口上进行自定义设置，避免80,8080,21等常见端口号，在网站服务正常运作的同事，最大限度的保护服务器的安全，杜绝漏洞的发生；另外开启东方网域节点的数据分布式服务，使网站资源减少真实访问，杜绝ip发暴露，并有效的提高网站访问速度和地区的seo效果。

当然针对无条件和个人用户可以利用此次针对Windows漏洞攻击特点进行有效的防御，那就是关闭445端口，最简单的操作就是利用防火墙是桂增。下面以Windows 7通过图例简单介绍一下，如何关闭445端口。

1. 打开控制面板点击防火墙

2. 点击“高级设置”

3. 先点击“入站规则”，再点击“新建规则”

4. 勾中“端口”，点击“协议与端口”

5. 勾选“特定本地端口”，填写445，点击下一步

6. 点击“阻止链接”，一直下一步，并给规则命名后，就可以了。

互联网安全反思

由WannaCry带来的反思已经在进行，WannaCry此次影响很大，应该说是对互联网安全的重视继习主席的“互联网安全观”之后又一次的警钟。现今网民几乎已经忘了电脑病毒这个东西，以为自熊猫烧香后，病毒已经不见了。其实，不是病毒不见了，而网民看不见而已。病毒一直都在，庞大的黑色产业链越来越专业，隐藏越来越深，也基本上不破坏系统，目标只是赚钱。网民看不见了。开始以为病毒都是安全厂商瞎忽悠。所以，这个病毒事件，会让网民重新警觉起来。一定会对中国的网络安全产生正面影响。

“没有网络安全就没有国家安全”。网络空间的无远弗届，让网络安全风险加大。应对网络和信息安全的挑战，必须要有正确的理论作指导。习近平在主持召开网络安全和信息化工作座谈会时提出：“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”所以让我们携起手来共建互联网安全信息化的时代吧！