自2017年5月互联网上出现针对Windows操作系统的Wannacry蠕虫病毒攻击，该病毒利用Windows SMB（共享信息服务，端口号445）服务的漏洞（对应微软漏洞公告MS17-010，2017年3月发布，但当时不含XP、VISTA等微软不支持维护的老版本操作系统），向Windows终端用户进行入侵攻击。入侵后可获取操作系统权限，并可进行任何操作。目前一种主流的攻击利用方式勒索，加密用户数据，向用户勒索比特币或其他价值财物。

　　2.病毒攻击原理

　　勒索病毒及变异病毒主要利用斯诺登曝光的美国国家安全局(NSA)黑客武器库中的一种名叫“永恒之蓝”攻击武器发起的蠕虫病毒攻击并传播勒索恶意软件。被WannaCry蠕虫病毒感染的主机会利用与美国国家安全局攻击思路（Fuzzbunch框架）自动化调用相关的ETERNALBLUE（永恒之蓝）模块和DOUBLEPULSAR后门程序，通过扫描IP地址可达且开放445端口号的Windows主机，攻击入侵主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。

　　蠕虫病毒扩散过程自动化、智能化，在互联网上和局域网内扩散迅速，波及范围大。运行Windows操作系统主机只要开放445端口号且未打补丁，病毒既能通过互联网、局域网在用户windows操作系统植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

　　3.安全防护策略与加固建议

　　操作系统层防护策略

　　1）关闭不必要开放的端口如445、135、137、138、139等，关闭网络共享（控制面板>程序>打开或关闭 Windows 功能>SMB 1.0/CIFS 文件共享支持>重启系统）。

　　2）更新windows操作系统补丁（Win7及以上版本的系统，安装MS07-010补丁， Windows XP/2003系统下载13日发布补丁，下载网址如下：

　　https://technet.microsoft.com/zh-cn/library/security/MS17-010

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　网络层防护策略

　　1）互联网出口处的防火墙，配置访问控制策略阻断双向445端口，阻断外部攻击。

　　2）内网不同安全边界的防火墙，配置访问控制策略阻断双向445端口，防止内网可能存在的蠕虫扩散。

　　3）加强对445等端口（其他关联端口如:135、137、138、139)的内部网络区域访问审计和流量审计，以有利于及时发现非授权行为或潜在的攻击行为；

　　4.检测防御措施

　　1）尝试利用360勒索蠕虫病毒文件恢复工具，下载网址如下：

　　https://dl.360safe.com/recovery/RansomRecovery.exe

　　2）防御检查工具，下载网址如下：

　　http://lesuobingdu.360.cn/

 

朝阳教育信息网络中心

2018年11月15日