蠕虫wannacry攻击预警通告-360企业安全.pdf

360 针对“永恒之蓝”（蠕虫 WannaCry ） 攻击预警通告 第十一次更新 2017 年 05 月 18 日 目录 第1 章 事件描述3 1.1 事件概述3 1.2 影响对象3 1.3 当前影响4 第2 章 处置建议6 2.1 确认影响范围6  潜在受影响系统定位 6  已感染蠕虫系统发现 6 2.2 根治方法7 2.3 应急处置7  网络层面 7  终端层面 7  感染处理 9  防护工具 11 2.4 长效措施 13 第3 章 相关分析14 3.1 事件前情 14 3.2 知识手册 14 3.3 技术分析 14 3.4 风险等级 15 第 2 页 共 15 页 第1章 事件描述 1.1 事件概述 2017 年5 月12 日晚上起国内多处高校网络和企业内网出现蠕虫病毒传播的 勒索软件感染爆发情况，受感染系统的磁盘文件会被病毒加密，提示用户支付高 额赎金才能解密恢复文件。如果在规定时间内不支付，文件数据就会被“撕票”， 在企业环境下系统应用文件的破坏很多时候直接导致业务中断。 根据360 企业安全集团的研判，事件是由不法分子利用上月泄露的NSA 黑客 数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击进行勒索的恶性事件，我们把 相应的蠕虫病毒命名为 “永恒之蓝”蠕虫（也称为 WannaCry ）。不法分子构造 的恶意代码会扫描攻击存在漏洞的 Windows 机器，无需用户任何操作，只要开 机上网，不法分子就能在电脑和服务器中植入恶意代码加密用户数据实施数字勒 索。 由于以前国内多次爆发利用 SMB 服务传播的蠕虫，部分运营商在主干网络 上封禁了相关445 端口，但是教育网及大量企业内网并没有此限制而且并未及时 安装补丁，所以仍然存在大量易受攻击的电脑，导致目前蠕虫的泛滥。目前蠕虫 存在几个变种，有消息说已有新的感染能力更强的变种出现。 2017 年5 月18 日，360 威胁情报中心关注到一个疑似通过利用NSA 网络攻 击武器库工具进行分发的恶意代码的样本，对其进行了分析。分析报告： /assets/doc/uiwix_report.docx 360 威胁情报中心正在持续密切关注，有新变化会随时更新本通告。 1.2 影响对象 “永恒之蓝”勒索蠕虫针对的是微软Windows 操作系统，它利用了Windows 系统的一个远程命令执行漏洞，微软桌面版本操作系统：Windows 2000、Windows XP 、Windows Vista 、Windows7 、Windows8 、Windows8.1 、Windows10 ；服务器 版本操作系统：Windows Server 2000、Windows Server 2003、Windows Server 2008、 第 3 页 共 15 页 Windows Server 2012、Windows Server 2016 等均受影响。 虽然微软早已在3 月份就发布了针对Windows 7 及以上版本操作系统的相关 安全漏洞补丁 MS17-010，但由于许多系统未及时安装更新，导致本次蠕虫爆发 时未受到恰当的保护。此外，对于Windows XP 、2003 等老旧操作系统，微软已 不再提供安全更新，而国内大量的教育机构、政务办公系统、业务应用终端仍旧 在使用Windows XP 或2003 系统，这也是造成本次蠕虫爆发的重要原因。 1.3 当前影响 该勒索软件同时具备加密勒索功能和内网蠕虫传播能力，属