北京時間5月12日，互聯網上出現針對Windows操作系統的勒索軟件（Wannacry）攻擊案例。勒索軟件利用此前披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進行滲透傳播，并向用戶勒索比特幣或其他價值物。包括高校、能源等重要信息系統在內的多個國內用戶受到攻擊，已對我國互聯網絡構成較為嚴重的安全威脅。

一、勒索軟件情況

綜合CNCERT和國內網絡安全企業（奇虎360公司、安天公司等）已獲知的樣本情況和分析結果，該勒索軟件在傳播時基于445端口并利用SMB服務漏洞（MS17-010），總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導致的后續黑產攻擊威脅。4月16日，CNCERT主辦的CNVD發布《關于加強防范Windows操作系統和相關軟件漏洞攻擊風險的情況公告》，對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報（相關工具列表如下），并對有可能產生的大規模攻擊進行了預警:

表1   有可能通過445端口發起攻擊的漏洞攻擊工具

當用戶主機系統被該勒索軟件入侵后，彈出如下勒索對話框，提示勒索目的并向用戶索要比特幣。而對于用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件后綴名被統一修改為“.WNCRY”。目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。

圖1  勒索軟件界面圖（來源：安天公司）

圖2  用戶文件被加密（來源：安天公司）

 二、應急處置措施

 CNCERT已經著手對勒索軟件及相關網絡攻擊活動進行監測，5月13日9時30分至12時，境內境外約101.1萬個IP地址遭受“永恒之藍”SMB漏洞攻擊工具的攻擊嘗試，發起攻擊嘗試的IP地址（包括進行攻擊嘗試的主機地址以及可能已經感染蠕蟲的主機地址）數量9300余個。建議廣大用戶及時更新Windows已發布的安全補丁更新，同時在網絡邊界、內部網絡區域、主機資產、數據備份方面做好如下工作：

（一）關閉445等端口(其他關聯端口如: 135、137、139)的外部網絡訪問權限，在服務器上關閉不必要的上述服務端口(具體操作請見參考鏈接)；

（二）加強對445等端口（其他關聯端口如: 135、137、139)的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

（三）及時更新操作系統補丁；

（四）安裝并及時更新殺毒軟件；

（五）不要輕易打開來源不明的電子郵件；

（六）定期在不同的存儲介質上備份信息系統業務和個人數據。

 CNCERT后續將密切監測和關注該勒索軟件的攻擊情況，同時聯合安全業界對有可能出現的新的攻擊傳播手段、惡意樣本進行跟蹤防范。

附：參考鏈接：

http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0 （微軟發布的官方安全公告）

http://www.cnvd.org.cn/webinfo/show/4110（CNVD安全公告）

http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html （安天防護手冊）

以上內容來源于：國家互聯網應急中心