“永恒之藍(lán)”勒索蠕蟲太猛，微軟緊急對(duì)已停服 Windows XP /2003 發(fā)特別補(bǔ)丁

5月12日開始， WannaCrypt(永恒之藍(lán))勒索蠕蟲突然爆發(fā)， 影響遍及全球近百國(guó)家， 包括英國(guó)醫(yī)療系統(tǒng)、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害， 我國(guó)的校園網(wǎng)和多家能源企業(yè)、政府機(jī)構(gòu)也中招， 被勒索支付高額贖金才能解密恢復(fù)文件， 對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。 截至5月13日中午， 估計(jì)中國(guó)國(guó)內(nèi)超2萬(wàn)臺(tái)機(jī)器中招， 全球超10萬(wàn)臺(tái)機(jī)器被感染。

WannaCrypt(永恒之藍(lán))勒索蠕蟲是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。 一個(gè)月前， 第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布， 包含了涉及多個(gè)Windows系統(tǒng)服務(wù)(SMB、RDP、IIS)的遠(yuǎn)程命令執(zhí)行工具， 其中就包括“永恒之藍(lán)”攻擊程序。

  圖：被感染的機(jī)器屏幕會(huì)顯示如下的告知付贖金的界面

由于WannaCrypt(永恒之藍(lán))勒索蠕蟲在全球范圍內(nèi)的巨大影響和潛在的威脅， 5月13日微軟總部決定公開發(fā)布已停服的XP和部分服務(wù)器版WindowsServer2003特別安全補(bǔ)丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

  Win7及以上版本的系統(tǒng)如果已經(jīng)安裝MS07-010補(bǔ)丁， 不受WannaCrypt(永恒之藍(lán))勒索蠕蟲， 但是由于微軟已經(jīng)停止對(duì)Win7以下的Windows XP/2003提供安全補(bǔ)丁， 造成Windows XP/2003處于危險(xiǎn)之中， 此次微軟破例為Windows XP/2003提供特別補(bǔ)丁， 用戶可以盡快下載安裝補(bǔ)丁， 以避免被WannaCrypt(永恒之藍(lán))勒索蠕蟲傷害。

針對(duì)“永恒之藍(lán)”勒索蠕蟲， 360企業(yè)安全專家建議: 對(duì)已經(jīng)感染勒索蠕蟲的機(jī)器建議隔離處置。

對(duì)尚未發(fā)現(xiàn)攻擊的機(jī)構(gòu)， 網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問， 如果邊界上有IPS和360天堤智慧防火墻之類的設(shè)備， 請(qǐng)升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷， 直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了相應(yīng)補(bǔ)丁或關(guān)閉了Server服務(wù)， 在終端層面暫時(shí)關(guān)閉Server服務(wù)。 對(duì)于已經(jīng)感染勒索蠕蟲的機(jī)器建議隔離處置。

同時(shí)建議針對(duì)重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份， 針對(duì)重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像， 制作足夠的系統(tǒng)恢復(fù)盤或者設(shè)備進(jìn)行替換。