1事件起源全球多個國家和地區(qū)的機構(gòu)及個人電腦遭受到了一款新型勒索軟件攻擊， 并于5月12日國內(nèi)率先發(fā)布緊急預警，外媒和多家安全公司將該病毒命名為“WanaCryptOr”（直譯：“想哭勒索蠕蟲”），常規(guī)的勒索病毒是一種趨利明顯的惡意程序， 它會使用加密算法加密受害者電腦內(nèi)的重要文件， 向受害者勒索贖金，除非受害者交出勒索贖金，否則加密文件無法被恢復，而新的“想哭勒索蠕蟲”尤其致命， 它利用了竊取自美國國家安全局的黑客工具 EternalBlue（直譯：“永恒之藍”）實現(xiàn)了全球范圍內(nèi)的快速傳播，在短時間內(nèi)造成了巨大損失。2危害范圍操作系統(tǒng)針對微軟公司全系列操作系統(tǒng)。WindowsXP、Windows7、Windows8、WindowsServer2008、WindowsServer2003、WindowsVista和已關(guān)閉自動更新的 win10用戶注：以下設(shè)備不受影響安卓手機，iOS設(shè)備，MacOSS備，*nix設(shè)備、Win10用戶如果已經(jīng)開啟自動更新不受影響。受影響的文件類型針對下列擴展名文件均會造成危害：?.lay6?.sqlite3?.sqlitedb?.accdb?.java?.class?.mpeg?.djvu?.tiff?.backup?.vmdk?.sldm?.sldx?.potm?.potx?.ppam?.ppsx?.ppsm?.pptm?.xltm?.xltx?.xlsb?.xlsm?.dotx?.dotm?.docm?.docb?.jpeg?.onetoc2?.vsdx?.pptx?.xlsx?.docx危害方式受感染文件將被加密（加密算法為AES128?：）,并要求用戶支付$300贖金比特幣。贖金明確說明指出，支付金額將三天后增加一倍。如果付款在七天后，加密的文件將被刪除。同時下載一個文件為“！PlesaeReadMe!.txt”其中文本解釋發(fā)生了什么,以及如何支付贖金。gE*harmstStim.^]Otxips,yuurinportarrcfilesareencrypteclBItmeansyouwillmtbe^blstad.cc>as5thornan^morauntilthay」「0dccryprnd.Ifyoufallwaurinstructions-附guar-anththdtyoucandecryptallyaurfliesquicklyarrisafely!let-sstartdecr^prlng!<:'rfhatdoId口力a:FirsTuyou紇ed payservicefeesfarthedecryptIan,please節(jié)電ndSI00wgr-chafbit匚0Im1口thisblicolnaddress:15M甲匚Tcy;gsCjDkE3DypCjXlQRVaVlN&=5iipleasefindrhedecrypisofxvireonyourdeskxap!ane>：BCuxa.blefileriianed,,?wa.ma&ecrypccr，!.e?：€".Ifitdadsmgtcystt,downla^dtha$Dfts「nfroitho-iddra￥fbalers.f￥oumopn?dtd sjbleyaurantivirusfarawhqlE!-3rarpasswordswcrylZJRlhandfollowth?instructIans!zl3病毒攻擊原理攻擊流程該蠕蟲病毒使用了ms17-010漏洞進行了傳播，一旦某臺電腦中招，相鄰的存在漏洞的網(wǎng)絡(luò)主機都會被其主動攻擊，整個網(wǎng)絡(luò)都可能被感染該蠕蟲病毒，受害感染主機數(shù)量最終將呈幾何級的增長。其完整攻擊流程如下：攻擊基點針對所有開放445SMB服務端口的終端和服務器，對于Win7及以上版本的系統(tǒng)確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。4檢測手段手工檢測根據(jù)現(xiàn)有案例發(fā)現(xiàn)該病毒會導致三種情況，一種是藍屏重啟，第二種是已被勒索，這兩種是最直觀的表現(xiàn)，還有第三種為已中招但還沒有運行勒索軟件的，該范圍內(nèi)的主機比例巨大。針對第三種，可使用netstat-ano查看主機端口進程列表如下可確認已被植入病毒：工劃tiwr11；DtT■VH.con￡￥M工劃tiwr11；DtT■VH.con￡￥M計N.SEHT行M，刖murnCYNCFWTtywkiMf,KE+HTSVMsrrtE0OIT*t^1NT1?.1.2S3.2M：SSM3—0.“4遇NX1tlzNdNRX-1U,2,2S).9^4：^M11lB.3,j43,344iWB2?,峨上.酷了二小舟、.”i?,1*-7+1*”.工l?.3l?.71**-￡“***'""'用空:tn??■'*,iP"*r&A船:明『；小".‘小%打二門一工”；4把?jm-e“*11■.工5WJEHSIT料is7」”***m必itadti.t1.71144$KIt*1i?.[??-￥*■:、J'?，EH.■+」力工：/壯事?』t：?值?*?.】■*「-：**，"nu。T”1■7,打才d科44sr—1*“，rJUM13LL1門e，j.l*S田mt”.**川y可以看到本機發(fā)送SYN!接至大量服務器的445端口可確認中招專業(yè)工具采用專業(yè)安全檢測工具或監(jiān)控工具均可及時發(fā)現(xiàn)， 如進行大面積排查，建議采用專業(yè)工具，可取的不錯效果的工具包含如下幾大類：漏洞掃描系統(tǒng)（如啟明星辰大鏡系統(tǒng)）APT檢測系統(tǒng)（如啟明星辰APT檢測或NGID繇統(tǒng)）流量監(jiān)控審計系統(tǒng)（如啟明星辰followeye系統(tǒng)）5防治手段手工防護未檢測到中病毒的windows系統(tǒng)主機處置更新ms17010補丁或添加防護規(guī)則補丁地址如下：官方地址：/zh-cn/library/security/MS17-010win2003、win8、winXP:/Search.aspx?q=KB4012598或添加防護規(guī)則如下：添加阻止所有到本地的135、137、138、139、445端口的入站規(guī)則。藍屏重啟主機處置藍屏重啟是由于被網(wǎng)絡(luò)內(nèi)某主機持續(xù)執(zhí)行ms17010攻擊導致。隔離網(wǎng)絡(luò)后可正常啟動，然后更新ms17010補丁或添加添加阻止所有到本地的135、137、138、139、445端口的入站規(guī)則。已運行勒索軟件主機處置針對已運行勒索軟件的主機目前沒有好的解決辦法。建議執(zhí)行如下操作：斷開網(wǎng)絡(luò)連接，阻止進一步擴散。根據(jù)終端數(shù)據(jù)類型決定處置方式，如果重新安裝系統(tǒng)則建議完全格式化硬盤、使用新操作系統(tǒng)、完善操作系統(tǒng)補丁、通過檢查確認無相關(guān)漏洞后再恢復網(wǎng)絡(luò)連接。

已中招尚未運行勒索軟件主機處置通過netsatat-ano記錄445連接的進程PID,打開任務管理器PID列顯示:|三H回Is1文憚肝)J8項1fiO(V)■劭(HjL施用起號進程ssejjtr|三H回Is1文憚肝)J8項1fiO(V)■劭(HjL施用起號進程ssejjtr?丁二二土M用戶名、內(nèi)存〔,時蛹?工貨帥e<StSTSTWKHol7mil"odg.mLOCAL005*4M<IV001f37^Ru注號rTV002S2PS2OKecnJk?iIa*￡?IV□0L3I2K倒T4中汕專鞏tseIV□0L通I閨CSJ與tST^rei00丸4嫄K口it卻H*N?STSTEl00L160Kdidw>>WIV00tcrs工a?rtrt?IV0051d出EbiTfirtfw.??*弟XUXI尊配hSSECFii備小◎-Vp4f*￥**35ST5Tli00*BBI而中@硼?■■*324 、 ■■li■ 1aAMsrsra?ZW515.436KiAAHWW4?1P?,d幽潮肯用戶的避理吱1苒麻阿用戶CPUq序?qū)?0%避程敷:就不洋的甲M科:60.061.7j電睞0023E9FQQ：5Q：564460,00通過任務管理器或cmd的tasklist 中進程的PID定位到445對應的進程,通過進程定位到病毒文件位置，示例如下：

彳ttMci?***■4J***Q,***”*￡us6v*neMdtc*"****J:；bwhi小J」分修咻r口味彳ttMci?***■4J***Q,***”*￡us6v*neMdtc*"****J:；bwhi小J」分修咻r口味TffTMJfihh一^l>.|h?i，:gwif.spi■小f上師"鑿*hHtTWMr上k￡( .加i/.?q.福uw.，，一wh^j<r*?1W ,物n”u劃抽皿,:帆—m'^***u\aj劉IDI],li國」.'上制同B力，?1141I*I?電皿ME卻Mib14Hm,R哂m貼■用ILSMJ酬”1 也mx" ffWoIIqhhim“0/的■修HE—WR.fM,qumlL>W14UU莪木育? i?lAjjILMI]I3LfJfiUS如圖可定位到主機C盤windows目錄存在病毒文件mssecsvc,結(jié)束此進程并刪除該文件。然后更新ms17010補丁或添加阻止所有到本地的135、137、138、139、445端口的入站規(guī)則以及添加阻止本地到所有的135、137、138、139、445端口的出站規(guī)則。使用主機CMD添加防火墻策略入站由站防護規(guī)則示例如通過CMOS加本地防火墻策略示例如下：添加策略命令如下：出站規(guī)則：禁用本地所有端口對外的135,137,138,139,445(tcp)netshadvfirewallfirewalladdrulename="disable-TCP135,137,138,139,445"protocol=TCPdir=outremoteport=135,137,138,139,445action=block禁用本地所有端口對外的135,137,138,139,445(udp)netshadvfirewallfirewalladdrulename="disable-UDP135,137,138,139,445"protocol=UDPdir=outremoteport=135,137,138,139,445action=block入站規(guī)則：啟用遠程RDF>務允許(如需要)netshadvfirewallfirewalladdrulename="rdp3389"protocol=TCPdir=inlocalport=3389(改為當前RD嘲口)action=allow禁用本地135,137,138,139,445對外的所有端口（tcp）netshadvfirewallfirewalladdrulename="disable-TCP135,137,138,139,445"protocol=TCPdir=inlocalport=135,137,138,139,445action=block禁用本地135,137,138,139,445對外的所有端口(udp)netshadvfirewallfirewalladdrulename="disable-UDP135,137,138,139,445"protocol=UDPdir=inlocalport=135,137,138,139,445action=block啟用防火墻：netstartmpssvc利用本地防火墻阻擋防護Win7、Win8、Win10的處理流程1、打開控制面板-系統(tǒng)與安全-Windows防火墻，點擊左側(cè)啟動或關(guān)閉Windows防火墻2、選擇啟動防火墻，并點擊確定白定義15蛭附電的泣■仔Hju.ar即弼/131工3曄期》：|*鴕￡■網(wǎng)用也量 口皿!斯■?￥.".由擇位三思產(chǎn)顯用咫回1tvndi0土 期門翌用同孥， 電/EMW?d-Eq*I□俎止崎，*4汨I.EJifi亍廿盅用我口』去用目WKIgn防火國燈眼蛾O0果的*m用次雹不泗卻3、點擊高級設(shè)置

+ 4-+V班?理曲討白三丈上產(chǎn)豆用孰JH口漢?9。&￡虹號—5/加1叱?g西馴Ml*謾"IEiEiEKlMliV他鬧麗nd口W1版火?宸解初保府爆的電腦■Hew他鬧麗nd口W1版火?宸解初保府爆的電腦■Hew珈if就中5止..國號=一舊土《的士!|軀的用￡息設(shè)帕叩5、選擇端口，下一步息設(shè)帕叩■R6、特定本地端口，輸入445,下一步???AWpg早片議觸?口瑚曬18?子所**3口社匕C 上第瑚曬18?子所**3口社匕C 上第■****此2?-勒翼ma?rin.-電妒■WtFf嗎?WtFf嗎?JIMS9^HPi?aw：j：tHin￡$C市口堂?門制口ffltTt<wr?EkAtt?llfl.CIW01■君既史mraJ—UklfUH弭冒用C修女安娘日充注■的bWKz*kWsWert7、選擇阻止連接，下一步

E* 島際團?aglUR比電力井也崢4.地!ld*l C忙亦演■何-UrF 喃.?■?事科的:柳，口牘惻OW/忸帕■富*I- K：M CH狂許安之出?口■， 熊泉盟提^^懶雌娥陰性”肉一,出土上T城LffWUU8、配置文件，全選，下一步哮，電甌駕用tivg類附IlEKSftMBISH4BUDF艮哮，電甌駕用tivg類附IlEKSftMBISH4BUDF艮出?皿計?1/14至防1年電?PtMrPiM MU你她，I底1k9、名稱，可以任意輸入，完成即可。5.2.2XP系統(tǒng)的處理流程1、依次打開控制面板，安全中心，Windows防火墻，選擇啟用i:nihivx防火L嗝l ~：2、點擊開始，運行，輸入cmd,確定執(zhí)行下面三條命令netstoprdrnetstopsrvn