本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，李勤

5 月 12 日晚上 20 時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，用戶只要開(kāi)機(jī)上網(wǎng)就可被攻擊。五個(gè)小時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢復(fù)文件，這場(chǎng)攻擊甚至造成了教學(xué)系統(tǒng)癱瘓，包括校園一卡通系統(tǒng)。 

［來(lái)源：中國(guó)之聲］

攻擊次數(shù)高，勒索金額大

據(jù)雷鋒網(wǎng)了解，這次事件是不法分子通過(guò)改造之前泄露的 NSA 黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。

這次的“永恒之藍(lán)”勒索蠕蟲(chóng)，是 NSA 網(wǎng)絡(luò)軍火民用化的全球第一例。一個(gè)月前，第四批 NSA 相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被 Shadow Brokers 組織公布，包含了涉及多個(gè) Windows 系統(tǒng)服務(wù)（SMB、RDP、IIS）的遠(yuǎn)程命令執(zhí)行工具，其中就包括“永恒之藍(lán)”攻擊程序。

惡意代碼會(huì)掃描開(kāi)放 445 文件共享端口的 Windows 機(jī)器，無(wú)需用戶任何操作，只要開(kāi)機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

目前，“永恒之藍(lán)”傳播的勒索病毒以O(shè)NION和WNCRY兩個(gè)家族為主，受害機(jī)器的磁盤(pán)文件會(huì)被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等各類資料都無(wú)法正常打開(kāi)，只有支付贖金才能解密恢復(fù)。這兩類勒索病毒，勒索金額分別是5個(gè)比特幣和300美元，折合人民幣分別為 5 萬(wàn)多元和 2000 多元。

安全專家還發(fā)現(xiàn)，ONION勒索病毒還會(huì)與挖礦機(jī)（運(yùn)算生成虛擬貨幣）、遠(yuǎn)控木馬組團(tuán)傳播，形成一個(gè)集合挖礦、遠(yuǎn)控、勒索多種惡意行為的木馬病毒“大禮包”，專門(mén)選擇高性能服務(wù)器挖礦牟利，對(duì)普通電腦則會(huì)加密文件敲詐錢(qián)財(cái)，最大化地壓榨受害機(jī)器的經(jīng)濟(jì)價(jià)值。

沒(méi)有關(guān)閉的 445 端口“引狼入室”

據(jù)360企業(yè)安全方面5月13日早晨提供給雷鋒網(wǎng)的一份公告顯示，由于以前國(guó)內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲(chóng)，部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上封禁了445端口，但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒(méi)有此限制而且并未及時(shí)安裝補(bǔ)丁，仍然存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致目前蠕蟲(chóng)的泛濫。

因此，該安全事件被多家安全機(jī)構(gòu)風(fēng)險(xiǎn)定級(jí)為“危急”。

雷鋒網(wǎng)尚未獲得中國(guó)范圍內(nèi)具體 445 端口開(kāi)放的機(jī)器數(shù)量。但是，雷鋒網(wǎng)了解到，國(guó)內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時(shí)攻擊約200次，夜間高峰期達(dá)到每小時(shí)1000多次；WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國(guó)的校園網(wǎng)迅速擴(kuò)散，夜間高峰期每小時(shí)攻擊約4000次。

大型企業(yè)、高校、政府網(wǎng)絡(luò)安全管理方面可以趕快測(cè)定是否受到了影響：

掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開(kāi)放445 SMB服務(wù)端口的終端和服務(wù)器，對(duì)于Win7及以上版本的系統(tǒng)確認(rèn)是否安裝了MS07-010補(bǔ)丁，如沒(méi)有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒(méi)有補(bǔ)丁，只要開(kāi)啟SMB服務(wù)就受影響。

個(gè)人可自行判定電腦是否打開(kāi)了 445 端口。

不過(guò)，在對(duì)360 企業(yè)安全資深專家汪列軍的采訪中，雷鋒網(wǎng)了解到，目前 90 %未關(guān)閉的 445 端口集中在中國(guó)臺(tái)灣和香港地區(qū)，大陸地區(qū)雖然占比很少，但基數(shù)很大。雖然，在2008年遭受類似的蠕蟲(chóng)攻擊后，運(yùn)營(yíng)商已經(jīng)封閉了大多數(shù)445端口，但是很多類似于教育網(wǎng)、大型企業(yè)內(nèi)網(wǎng)等相對(duì)獨(dú)立的網(wǎng)絡(luò)沒(méi)有自動(dòng)關(guān)閉 445端口，所以影響范圍很大。

汪列軍判定，該攻擊已經(jīng)肆虐到了全世界多個(gè)國(guó)家和地區(qū)，這種大規(guī)模的勒索攻擊十分罕見(jiàn)，他昨晚甚至在通宵加班，緊急處理該問(wèn)題。

雷鋒網(wǎng)發(fā)現(xiàn)，多家安全公司都進(jìn)行了緊急處理，在今晨5、6點(diǎn)左右開(kāi)始對(duì)外發(fā)布緊急通知。

最恐怖的一點(diǎn)在于，對(duì)裝載Win7及以上版本的操作系統(tǒng)的電腦而言，目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，可以立即電腦安裝此補(bǔ)丁。汪列軍說(shuō)，對(duì)個(gè)人電腦，可能可以自行學(xué)習(xí)及裝載，但是對(duì)于大型組織機(jī)構(gòu)而言，面對(duì)成百上千臺(tái)機(jī)器，必須使用集中管理的客戶端，尤其如果大型組織管理機(jī)構(gòu)之前沒(méi)有做好安全防護(hù)措施，處理起來(lái)十分棘手。

之前提到，有兩個(gè)勒索家族出現(xiàn)，汪列軍認(rèn)為，不排除該勒索蠕蟲(chóng)出現(xiàn)了多個(gè)變種。

不法分子是將此前公布的“永恒之藍(lán)”攻擊程序改裝后進(jìn)行的攻擊。汪列軍解析，可以理解為該NSA攻擊工具內(nèi)核沒(méi)變，但是不法分子改變了其“載核”，加上了勒索攻擊的一系列調(diào)動(dòng)工具，由于該NSA攻擊工具可以被公開(kāi)下載，不排除可有多個(gè)不法分子改裝該工具發(fā)動(dòng)勒索襲擊。

應(yīng)急處理辦法

以下為360企業(yè)安全提供給雷鋒網(wǎng)的一份處理辦法建議：

網(wǎng)絡(luò)層面

目前利用漏洞進(jìn)行攻擊傳播的蠕蟲(chóng)開(kāi)始泛濫，強(qiáng)烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷 445 端口的訪問(wèn)，如果邊界上有 IPS 和 360 新一代智慧防火墻之類的設(shè)備，請(qǐng)升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS07-010補(bǔ)丁或關(guān)閉了Server服務(wù)。

終端層面

暫時(shí)關(guān)閉Server服務(wù)。

檢查系統(tǒng)是否開(kāi)啟Server服務(wù)：

1、打開(kāi) 開(kāi)始 按鈕，點(diǎn)擊 運(yùn)行，輸入cmd，點(diǎn)擊確定

2、輸入命令：netstat -an 回車(chē)

3、查看結(jié)果中是否還有445端口

如果發(fā)現(xiàn)445端口開(kāi)放，需要關(guān)閉Server服務(wù)，以Win7系統(tǒng)為例，操作步驟如下：

點(diǎn)擊 開(kāi)始 按鈕，在搜索框中輸入 cmd ，右鍵點(diǎn)擊菜單上面出現(xiàn)的cmd圖標(biāo)，選擇 以管理員身份運(yùn)行 ，在出來(lái)的 cmd 窗口中執(zhí)行 “net stop server”命令，會(huì)話如下圖：

感染處理

對(duì)于已經(jīng)感染勒索蠕蟲(chóng)的機(jī)器建議隔離處置。

根治方法

對(duì)于Win7及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)立即電腦安裝此補(bǔ)丁。出于基于權(quán)限最小化的安全實(shí)踐，建議用戶關(guān)閉并非必需使用的Server服務(wù)，操作方法見(jiàn) 應(yīng)急處置方法 節(jié)。

對(duì)于Windows XP、2003等微軟已不再提供安全更新的機(jī)器，推薦使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，以避免遭到勒索蠕蟲(chóng)病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe 。這些老操作系統(tǒng)的機(jī)器建議加入淘汰替換隊(duì)列，盡快進(jìn)行升級(jí)。

恢復(fù)階段

建議針對(duì)重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，針對(duì)重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤(pán)或者設(shè)備進(jìn)行替換。

此外，已有安全廠商發(fā)布了預(yù)防處理類產(chǎn)品，大家自行搜索一下吧！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。