【IT168 评论】5月12日晚，新型“蠕虫式”勒索软件 WannaCry 在全球爆发，攻击各国政府，学校，医院等网络。我国众多行业大规模受到感染，其中教育网受损最为严重，攻击造成大量教学系统瘫痪。

　　事件描述

　　经过分析，WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件，利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010，微软已在今年3月份发布了该漏洞的补丁。

　　系统中招后，会弹出一下对话框：

　　目前国内多个政府网和教育网出现WannaCry勒索软件感染情况，一旦磁盘文件被病毒加密，只有支付高额赎金才能解密恢复文件，目前技术还无法解密该勒索软件加密的文件。

　　影响范围

　　win7以上所有版本开放445 SMB服务端口的终端和服务器，确认是否安装了MS17-010补丁，如没有安装则受威胁影响。

　　Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。

　　漏洞介绍

　　Windows SMB远程提权漏洞，NSA 泄露工具 ETERNALBLUE(永恒之蓝) 是 SMB 的重量级利用，可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

　　Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的，用于在计算机间共享文件、打印机等。

　　445端口是一种TCP端口，该端口在windows Server系统中提供局域网中文件或打印机共享服务，攻击者与445端口建立请求连接，能够获得指定局域网内的各种共享信息。

　　漏洞检测

　　深信服安全云早在一个月前已更新微软SMB漏洞检测方案，扫描识别下图二维码，关注“深信服安全云”公众号。提交域名，检测网站是否存在漏洞。

　　解决方案

　　1、升级针对MS17-010的微软的漏洞补丁，可以采用自动更新或下载更新补丁的方法，补丁更新地址如下：

　　Windows Vista、Windows Server 2008

　　http://www.catalog.update.microsoft.com/search.aspx?q=4012598

　　Windows 7、Windows Server 2008 R2

　　http://www.catalog.update.microsoft.com/search.aspx?q=4012212

　　Windows 8.1、Windows Server 2012 R2

　　http://www.catalog.update.microsoft.com/search.aspx?q=4012213

　　Windows RT 8.1

　　http://www.catalog.update.microsoft.com/search.aspx?q=4012216

　　Windows Server 2012

　　http://www.catalog.update.microsoft.com/search.aspx?q=4012214

　　2、针对微软不提供补丁支持的操作系统，Windows XP和Windows 2003，可以禁止使用smb服务的445端口，禁用方法：

　　https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

　　3、备份系统中的重要文件，XYclouds用户可使用云灾备服务进行备份;

　　4、深信服防火墙早在一个月前就已发布针对微软SMB漏洞的攻击防护，用户可升级到20170415及其以上版本即可防御此漏洞的攻击。