关于防范基于SMB文件共享传播的蠕虫病毒攻击紧急安全预.PDF

关于防范基于 SMB 文件共享传播的 蠕虫病毒攻击 紧急安全预警通告 第三次更新 2017 年 05 月 13 日 目录 第1 章 安全通告3 第2 章 漏洞信息4 2.1 漏洞描述4 2.2 风险等级4 第3 章 处置建议5 3.1 确认影响范围5  潜在受影响系统确认5  已感染蠕虫系统发现5 3.2 应急处置方法6  网络层面6  终端层面6  防护工具7  感染处理7 3.3 根治方法7 3.4 恢复阶段8 第4 章 技术分析9 4.1 整体影响评估9 4.2 可受影响区域9 第 2 页 共 9 页 第1章 安全通告 尊敬的客户： 2017 年5 月12 日起，在国内外网络中发现爆发基于Windows 网络共享协议 进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的 NSA 黑客武 器库中“永恒之蓝”攻击程序发起的网络攻击事件。 目前发现的蠕虫会扫描开放445 文件共享端口的Windows 机器，无需用户任 何操作，只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远 程控制木马、虚拟货币挖矿机等恶意程序。 此蠕虫目前在没有对445 端口进行严格访问控制的教育网及企业内网大量传 播，呈现爆发的态势，受感染系统会被勒索高额金钱，不能按时支付赎金的系统 会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害，各 类规模的企业内网也已经面临此类威胁。 360 安全监测与响应中心也将持续关注该事件的进展，并第一时间为您更新 该事件信息。 前情提要：北京时间2017 年4 月14 日晚，一大批新的NSA 相关网络攻击工 具及文档被Shadow Brokers 组织公布，其中包含了涉及多个Windows 系统服务 （SMB、RDP、IIS）的远程命令执行工具。 第 3 页 共 9 页 第2章 漏洞信息 2.1 漏洞描述 2017 年5 月12 日国内多处高校网络和企业内网出现WannaCry 勒索软件感 染情况，磁盘文件会被病毒加密，只有支付高额赎金才能解密恢复文件，对重要 数据造成严重损失，甚至直接导致业务中断。 根据网络安全机构通报，这是不法分子利用NSA 黑客武器库泄漏的“永恒之 蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445 文件共享 端口的 Windows 机器，无需用户任何操作，只要开机上网，不法分子就能在电 脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 由于以前国内多次爆发利用445 端口传播的蠕虫，部分运营商在主干网络上 封禁了445 端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补 丁，仍然存在大量暴露445 端口且存在漏洞的电脑，导致目前蠕虫的泛滥。 2.2 风险等级 360 安全监测与响应中心对此事件的风险评级为：危急 第 4 页 共 9 页 第3章 处置建议 3.1 确认影响范围  潜在受影响系统确认 扫描内网，发现所有开放445 SMB 服务端口的终端和服务器，对于Win7 及 以上版本的系统确认是否安装了MS17-010 补丁，如没有安装则受威胁影响。Wi