揭示“永恒之蓝”勒索病毒最全真相

甲先

并保证Windows防火墙处于开启状态：

甲先

3、Window7及以上版本电脑通过微软官方更新的MS17-010补丁进行安装更新，可参考：https://support.microsoft.com/zh-cn/help/4012598/title。

（微软不再提供Windows XP/Windows2003系统的安全更新，低版本者建议更新操作系统版本。）

甲先

六、各大安全企业应对解决方案

现在，国内各大家安全企业都推出了自己的解决方案，下面界小编为大家一一盘点，排名不分先后。

、

由于本次勒索软件危害范围之广，令微软方面提起重视，微软在今晨已发表声明将采取紧急措施以应对此次病毒袭击。微软宣称使用Windows 10系统的用户尚未受到“WannaCry”的攻击。

1.对已经停止提供安全更新的Windows XP、Windows 8、Windows Server 2003等系统提供紧急安全更新。

2.微软为Windows XP、Windows 8、Windows Server 2003系统提供的安全补丁。

下载地址如下：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 。

3.微软提供免费查扫工具：http://www.microsoft.com/security/scanner/ is designed to detect this threat as well as many others。

甲先

360产品针对本次勒索病毒事件的处置建议：

1.360天擎终端安全管理系统。安装了360天擎完整的终端安全管理套件的客户，应该开启终端的自动漏洞修复，并及时升级天擎控制台的补丁库，确保与 MS17-010 相关的补丁均已打上。在带宽允许的情况下，可以主动下发漏洞修复任务确保更快速的补丁应用。对于XP和Windows 2003等已经没有补丁支持的系统，可以借助天擎的专杀工具机制，下发脚本对终端的受影响服务进行关闭操作。

2. 360新一代智慧防火墙、下一代极速防火墙早在一个月前就已经通过更新IPS特征库完成了对该攻击的防护。此外，由于该攻击已开始在教育网内泛滥，不排除高校部分开放445端口的主机已被攻击，新一代智慧防火墙基于“智慧发现”、“智慧调查”特性可高效检测、统计产生此类攻击的终端IP，协助用户快速定位已失陷主机以便于及时在终端系统进行处置操作。

3.360天眼未知威胁感知系统的流量探针在第一时间加入了其中几款最严重的远程代码执行漏洞的攻击检测，包括EternalBlue、EternalChampion、EternalRomance、EternalSynergy等。另外，其他利用工具的检测规则在持续跟进中，请密切关注360天眼流量探针规则的更新通知。

4.360天眼产品的应急处置方案：360天眼流量探针（传感器）通过：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级。

甲先

安天发布了针对勒索者蠕虫病毒WannaCry的几个应对措施。

1.《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》下载地址为：http://www.antiy.com/response/wannacry.html

2.《安天应对勒索软件“wannacry”防护手册》下载地址为：http://www.antiy.com/response/An ... tection_Manual.html。

3.《安天应对勒索者蠕虫病毒WannaCry FAQ》下载地址为：http://www.antiy.com/response/Antiy_Wannacry_FAQ.html

4.蠕虫病毒WannaCry免疫工具和扫描工具下载地址为：http://www.antiy.com/tools.html

甲先

1.亚信安全深度威胁发现设备TDA。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测，让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端，以实施相对应的响应措施。同时，用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。

2.亚信安全服务器深度安全防护系统Deep Security。针对微软远程代码执行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略，用户只需要对虚拟化系统做一次"建议扫描"操作，就能自动应用该策略，无论是有代理还是无代理模式，都能有效防护该勒索软件。

3.亚信安全深度威胁安全网关Deep Edge。Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则 （规则名称：微软MS17 010 SMB远程代码执行1-4 规则号：1133635,1133636,1133637,1133638）。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。

4.亚信安全深度威胁邮件网关DDEI。针对加密勒索软件攻击，用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击，只需在Web渠道通过IPS或防火墙规则即可拦截，但广大用户切不可掉以轻心，因为还有大量的勒索软件攻击是通过邮件渠道发起的，我们还需要在邮件入口处加以防范，防止勒索软件卷土重来。

5.教育网安全缓解措施

在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接；

在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

甲先

安恒信息提醒广大Windows系统用户：

1.目前微软已发布补丁MS17-010修复了“永恒之蓝”工具所利用的系统漏洞，请尽快为电脑安装此补丁。补丁下载链接：https://technet.microsoft.com/zh ... urity/ms17-010.aspx

2.请注意微软只会为仍在服务期内的版本发布补丁，对于较早的已不在服务期内的版本（Windows 7之前版本，Windows Server 2008之前版本），微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本，建议用户部署基本的防火墙，禁止电脑直接使用公网IP。

3.在Windows系统上关闭不必要开放的端口，如445、135、137、138、139等，并关闭网络共享。

4.定期备份重要文件数据。

甲先

启明星辰为用户提供6大解决方案。

1.未部署端点安全的终端应急解决方案

做好重要文件的备份工作（非本地备份）； 开启系统防火墙；利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）；打开系统自动更新，并检测更新进行安装；停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统；如无需使用共享服务建议关闭该服务。

2.已部署端点安全的终端应急解决方案。如果用户已经部署终端管理类产品，如北信源，天珣、联软等；通过终端管理软件进行内网打补丁；通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量；开启文件审计，只允许word.exe，explore.exe等对文件访问； 升级病毒库，已部署天珣防病毒的用户，支持查杀。

3.网络应急解决方案。在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接；在内网核心主干交换路由设备禁止135/137/139/445端口的连接；如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略；发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

4.已经感染解决方案。断开网络连接，阻止进一步扩散；优先检查未感染主机的漏洞状况（可直接联系启明星辰，提供免费检测工具使用），做好漏洞加固工作后方可恢复网络连接；已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

5.内部排查应急方案。若用户已部署漏洞扫描类产品，可联系厂商获得最新漏洞库的支持；已部署启明星辰天镜漏扫产品的用户，请大家升级至最新漏洞库即可，建议使用漏扫6070以上版本进行扫描，最新漏洞库607000088。实现对内部Windows主机资产的漏洞情况排查；未部署相关产品的用户，可联系厂商获得产品试用应急。

6.无法关闭服务端口的应急解决方案。若用户已部署UTM/IPS入侵防御类产品，可联系厂商获得最新事件库的支持；已部署启明星辰天清入侵防护类产品（IPS/UTM）的用户，请大家升级至最新事件库并下发相应规则即可实现对内部Windows主机的防护；未部署相关产品的用户，可联系厂商获得产品试用应急。

甲先

迪普安全设备防御方案：更新迪普科技IPS最新版本漏洞特征库，并对14221，14222特征规则配置阻断策略。在迪普科技防火墙设备上对445号端口配置阻断策略。

甲先

1.针对终端处理的建议：

（1）及时安装补丁：微软已发布补丁，修复了“永恒之蓝”攻击的系统漏洞，补丁编码MS17-010，请尽快按照如下链接安装https://technet.microsoft.com/zh-cn/library/security/MS17-010。

（2）关闭445端口与相关服务。打开控制面板中的Windows防火墙，并保证防火墙处于启用状态，打开防火墙的高级设置，在“入站规则”中新建一条规则，本地端口号选择445，操作选择阻止连接，同事建议关闭135、137、138、139。

（3）备份与升级。使用U盘、移动硬盘备份电脑中的文件，重要文件采用不可逆的加密算法进行加密。建议使用微软较高版本的windows系统，并自动修复补丁，保持补丁版本的最新。

2.针对防火墙处理建议：

（1）禁止双向135/137/139/445端口的连接建立。

（2）更新病毒库即开启防病毒策略即可。锐捷病毒样本库已于5月12日上午9点更新。

（3）更新IPS特征库，确保关于windows全部漏洞代码的特征，并开启IPS策略。

（4）阻断已知的Wannary 勒索软件C&C服务器。