“永恒之藍(lán)”病毒席卷全球，如(rú)÷δ☆何預防

   2017年(nián)5月(yuè)12日(rì)ααπ起，全球範圍內(nèi)爆發基于Windowsα₩φ∏網絡共享協議(yì)進行(xíng)攻擊傳播的(de)蠕₹&φ蟲惡意代碼，這(zhè)是(shì)不(bù↔♥↕)法分(fēn)子(zǐ)通(tōng)過改造之> "₹前洩露的(de)NSA黑(hēi)客武器(qì)庫中“永恒•∞∏ 之藍(lán)”攻擊程序發起的(de)網絡攻擊事(shì)件(j→÷iàn)，用(yòng)戶隻要(yào)開(kāi)機(jī)上(shàng↓>≠>)網就(jiù)可(kě)被攻擊。五個(gè)小(xiǎo)時(≈σshí)內(nèi)，影(yǐng)響覆蓋€≤≤☆美(měi)國(guó)、俄羅斯、整個(gè)歐洲等100多(duō)個α±(gè)國(guó)家(jiā)，國(guó)內(nèi)多(duδπ₹ō)個(gè)高(gāo)校(xiào)校(xiào)內(nèi)網、大(dà‍♦)型企業(yè)內(nèi)網和(hé)政府機®₹₹•(jī)構專網中招，被勒索支付高(gāo)額贖金(jīn)才能(né♠ ng)解密恢複文(wén)件(jiàn)，對(✘αduì)重要(yào)數(shù)據造成嚴重損失≠₩.

   這(zhè)次±₽∑的(de)“永恒之藍(lán)”勒索蠕蟲，是(±☆φ↓shì)NSA網絡軍火(huǒ)民(mín)用(yòng)化¥¶€>(huà)的(de)全球第一(yī)例。一(yī)個(gè)月(yuè)前，第♣€σ四批NSA相(xiàng)關網絡攻擊工(gōng)具及文(wén)檔被Sha&≤§εdow Brokers組織公布，包含了(le)涉及多(duō)個(gè)≥✘∑Windows系統服務（SMB、RDP、IIS）的(de)遠(¥γyuǎn)程命令執行(xíng)工(gōng)具，其中 ∑δ就(jiù)包括“永恒之藍(lán)”攻擊程序。
漏洞描述

   近(jìn)期國(guó£♠β£)內(nèi)多(duō)處高(gāo)校(xi✔±ào)網絡和(hé)企業(yè)內(nèi)網出現(γ∞xiàn)WannaCry勒索軟件(jiàn)感染情況，>>磁盤文(wén)件(jiàn)會(huì)被病毒加密，隻有(yǒ$δ♣u)支付高(gāo)額贖金(jīn)才能(néngσ∏)解密恢複文(wén)件(jiàn)，對(duì)重要(yào)數±₩∏(shù)據造成嚴重損失。

   根據網絡安全機(jī)構通(tōng)報($¶ bào)，這(zhè)是(shì)不(b$ <ù)法分(fēn)子(zǐ)利用(yòng)"←NSA黑(hēi)客武器(qì)庫洩漏的(de≈§≤™)“永恒之藍(lán)”發起的(de)蠕蟲病毒攻擊傳播≤γ©φ勒索惡意事(shì)件(jiàn)。惡意代碼會(huì)掃描開(kāi)放≥✔×>(fàng)445文(wén)件(jiàn)共享端口的(de)Win&♠dows機(jī)器(qì)，無需用(yòφ& ®ng)戶任何操作(zuò)，隻要(yào)σ>> 開(kāi)機(jī)上(shàng)網，不(bù)法☆‍✔÷分(fēn)子(zǐ)就(jiù)能(néng)在電(diàn)腦'∑'£(nǎo)和(hé)服務器(qì)中植入勒索ε£∑軟件(jiàn)、遠(yuǎn)程控制(z✘← hì)木(mù)馬、虛拟貨币挖礦機(jī)等惡意程序。

   由于以前國(guó)內(nèi)多(d≤♠uō)次爆發利用(yòng)445端口傳播的(deλ☆"π)蠕蟲，部分(fēn)運營商在主幹網絡上(shàng)封禁了(leσ♠¶)445端口，但(dàn)是(shì)教育網及≠™大(dà)量企業(yè)內(nèi)網并沒有(yǒu)此限制(zhì)而且σ÷Ω并未及時(shí)安裝補丁，仍然存在大(dà)量暴露445端α¶γ口且存在漏洞的(de)電(diàn)腦(nǎo)，導緻目前蠕↑§蟲的(de)泛濫。
影(yǐng)響範圍

   掃描內(nèi)網，發現(xiàn)所有(yǒu)開≥₽'(kāi)放(fàng)445 SMB服務端口的(<∞÷de)終端和(hé)服務器(qì)，對(duì)±₽☆ 于Win7及以上(shàng)版本的(de)系統确認是₹€π(shì)否安裝了(le)MS17-010補丁，如(rú)沒有(yǒu)₩☆©安裝則受威脅影(yǐng)響。Win7以下(xià)的(de)W≈↔indows XP/2003目前沒有(y♥↑ǒu)補丁，隻要(yào)開(kāi)啓SMBδ'"∑服務就(jiù)受影(yǐng)響。
應急處置方法
網絡層面

   目前利用(yòng)漏洞進行₹‍(xíng)攻擊傳播的(de)蠕蟲開(kāi)始泛濫，360企業(y€δ¶δè)安全強烈建議(yì)網絡管理(lǐ)員(yuán)在網絡§α™邊界的(de)防火(huǒ)牆上(shàng)阻斷445端↕÷≤✘口的(de)訪問(wèn)，如(rú)果邊界上(shàn♦λ ®g)有(yǒu)IPS和(hé)360新一(yī)代智慧防₩π火(huǒ)牆之類的(de)設備，請(qǐng)升級設備的☆‍(de)檢測規則到(dào)最新版本并設置π✔£相(xiàng)應漏洞攻擊的(de)阻斷，直到✔≈×™(dào)确認網內(nèi)的(de)電→∏(diàn)腦(nǎo)已經安裝了(le)₩‍<♣MS17-010補丁或關閉了(le)Server服務≠≤α。

終端層面

暫時(shí)關閉Server服務。
檢查系統是(shì)否開(kāi)啓Server服務：
1、打開(kāi) 開(kāi)始 按鈕， ₽>點擊運行(xíng)，輸入cmd，點擊确定
2、輸入命令：netstat -an 回車(c®¥♥∞hē)
3、查看(kàn)結果中是(shì)否還(hái)有(yǒu &φ)445端口

感染處理(lǐ)

   對(duì)于已經感染勒索蠕蟲的(de)機(jī)γ✘器(qì)建議(yì)隔離(lí)處置。目前暫無具體§$¥↔(tǐ)解密恢複方法，建議(yì)将感染病毒并存有®∞₩(yǒu)重要(yào)文(wén)件(jiàn)的(de)計(↕∏→☆jì)算(suàn)機(jī)斷網、關機(♠"jī)，等待下(xià)一(yī)步恢複方法。

根治方法

    對(duì)于Win7及以上(shàng)版本$↕"↔的(de)操作(zuò)系統，目前微(wēi)軟已發布補丁&εMS17-010修複了(le)“永恒之藍(lán)”‍π攻擊的(de)系統漏洞，請(qǐng)立即電(diàn)腦(nǎo)安裝±"÷此補丁。出于基于權限最小(xiǎo)化(huà)的(de™>₹$)安全實踐，建議(yì)用(yòng)戶關閉并非必₹φ需使用(yòng)的(de)Server服務，操作(zuò)方法見(jφ☆★‍iàn)“應急處置方法”部分(fēn)。

    對(duì) σ↑≤于Windows XP、2003等微(wēi)軟已不(÷←‌σbù)再提供安全更新的(de)機(jī)器Ω✔∏(qì)，推薦使用(yòng)360“NSA武器(qì)庫免疫工(gōng)具γλ☆₹”檢測系統是(shì)否存在漏洞，并關閉受到(dào)漏洞影(yǐng©  )響的(de)端口，以避免遭到(dào)勒索蠕蟲病毒的(de)侵害。

恢複階段

建議(yì)針對(duì)重要(yào)業(y≤¥±è)務系統立即進行(xíng)數(shù)據備份，針對(d↑σ₹γuì)重要(yào)業(yè)務終端進行(xíβ♣‌‌ng)系統鏡像，制(zhì)作(zuò)足夠的(☆ ♣♣de)系統恢複盤或者設備進行(xíng)替換。