一、概述

上个周末，对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始，全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之蓝”勒索病毒。截止发稿时为止，包括美国、俄罗斯以及整个欧洲在内的100多个国家，及国内众多大型企事业单位内网和*机构专网中招，电脑磁盘上的文件被加密，用户被勒索支付高额赎金才能解密恢复文件。由于病毒使用的是高强度的RSA和AES加密算法，目前还无法破解。换句话说，用户一旦中招，基本无解。

鉴于病毒还在全面传播，如暂时无法进行系统处置，内网用户应尽量先断网关机，等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。

经分析，判定该勒索软件是一个名称为“WannaCry”的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。

二、开机防护操作指南

关于尚未感染的用户群体的详细防护步骤如下：

1）关闭网络，开启系统防火墙；

2）利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）及网络共享；

3）打开网络，开启系统自动更新，并检测更新进行安装；

2.1 Win7、Win8、Win10操作指南：

1)关闭网络：拔下网线，关闭无线路由器，已开机PC可关闭本机无线网卡，或禁用网络连接。

2)打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

3)选择启动防火墙，并点击确定

4)点击高级设置

5)点击入站规则，新建规则，以445端口为例

6)选择端口、下一步

7)选择特定本地端口，输入445，下一步

8)选择阻止连接，下一步

9)配置文件，全选，下一步

10) 名称，可以任意输入，完成即可。

11) 插入网线，启用网卡，恢复网络。

12) 开启系统自动更新，并检测更新进行安装

注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。

2.2XP系统操作流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、通过注册表关闭445端口，单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。

3、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

4、将DWORD值命名为“SMBDeviceEnabled”，值修改为0。

5、重启机器，查看445端口连接已经没有了。

6、鉴于本次WannaCry蠕虫事件的影响巨大，微软总部决定对已停服的XP和部分服务器版本发布特别补丁，微软公告详情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

被感染的用户补救方案

1）首先拔掉网线，与内网其他机器隔离；

2）参考“二、开机防护操作指南”操作免疫；

3）使用蠕虫勒索软件专杀工具（WannaCry）清除病毒；

4）使用PE盘进入操作系统，将可用文件进行备份，并对备份数据进行离线处理；

5）如果重装系统，重装后重复2)、3)步骤，并参考做好防护工作。

本文来自合作伙伴“阿里聚安全”，发表于2017年05月15日 .