2017年5月12日20時左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，波及99個國家，并仍在迅速蔓延。我國大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染。

WanaCry爆發(fā)，99個國家被勒索

據(jù)悉，該病毒名為“WannaCry”，利用的漏洞是微軟 Windows 的 EternalBlue MS17-010 SMB。傳播方式為內(nèi)部網(wǎng)絡傳播，包括 VPN 連接、訪客用的 WI-FI 等能連接到內(nèi)部網(wǎng)的方式，通過機器開放端口 445 進入。攻擊者稱需支付價值300美元的比特幣解鎖，3日后金額翻倍。如用戶拒絕支付，電腦中的全部資料將于7日內(nèi)被刪除。

讓世界看看，中國的網(wǎng)絡安全力量！

事件爆發(fā)后，我國網(wǎng)絡安全界迅速炸開鍋，各安全廠商紛紛啟動應急措施，各網(wǎng)絡媒體也紛紛及時進行信息報道，中國的網(wǎng)絡安全力量在危及關頭迅速覺醒，快速應對此次世界性的網(wǎng)絡危機。

5月13日凌晨，聯(lián)軟科技的百人安全服務團隊立即行動起來，在過去的短短一天一夜里，已經(jīng)迅速為 130 多家各行業(yè)用戶進行了緊急安全排查和加固，并且還在持續(xù)加班加點為更多用戶逐一排查。此次世界級安全事件，充分體現(xiàn)了中國網(wǎng)絡安全界一致對外、迅速解決網(wǎng)絡危及的行動力，讓世界見識到了什么是網(wǎng)絡安全強國該有的力量。

針對WanaCry，正確的安全排查步驟

目前大型企業(yè)、高校、政府網(wǎng)絡安全管理方面可以趕快測定是否受到了影響：掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放445 SMB服務端口的終端和服務器，對于Win7及以上版本的系統(tǒng)確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務就受影響。未安裝聯(lián)軟產(chǎn)品的網(wǎng)絡用戶可以嘗試以下解決方案：

1、網(wǎng)絡層面

強烈建議網(wǎng)絡管理員在網(wǎng)絡邊界的防火墻上阻斷445 端口的訪問，如果邊界上有IPS 和下一代防火墻，請升級設備的檢測規(guī)則到最新版本并設置相應漏洞攻擊的阻斷，直到確認網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS07-010補丁或關閉了Server服務。微軟MS17-010補丁下載址：https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、終端層面

關閉操作系統(tǒng)不必要開放的端口，如445、135、137、138、139端口，關閉網(wǎng)絡共享服務。

3、感染處理

對于已經(jīng)感染該病毒的機器，建議隔離處置。

4、預防要點

a、強化網(wǎng)絡安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開。

b、盡快（今后定期）備份自己電腦中的重要文件資料到移動硬盤、U盤，備份完后脫機保存該磁盤。

c、建議仍在使用windows xp， windows 2003操作系統(tǒng)的用戶盡快升級到 window 7/windows 10，或 windows 2008/2012/2016操作系統(tǒng)。

聯(lián)軟用戶安全加固步驟

1、臨時禁用445端口

通過聯(lián)軟的IT安全運維管理平臺，分發(fā)腳本，對企業(yè)內(nèi)網(wǎng)所有的終端的445端口進行臨時關閉，阻斷病毒的傳播途徑。但由于微軟不建議關閉SMBv2和SMBv3，涉及一些業(yè)務和系統(tǒng)服務在使用該服務，直接關閉會影響業(yè)務或系統(tǒng)的正常運行，所以只能臨時關閉；

2、更新補丁

利用聯(lián)軟平臺，逐步有序的檢查和更新MS17-010對應補丁，修補漏洞。特別說明，補丁推送必須先測試，然后按步驟有序推進，避免由于環(huán)境中應用與補丁沖突導致終端運行不正?；蛴绊憳I(yè)務運行；

3、啟用準入策略

啟用準入控制，禁止外來不安全終端（未更新MS17-010對應補丁和更新病毒庫的終端）入網(wǎng)；

4、聯(lián)系我們

需要更多技術資料，請撥打聯(lián)軟科技技術熱線：400-6288-116。

良好的安全意識，讓勒索軟件無“利”可圖！

從以往的安全事件爆發(fā)中可以看出，中國已經(jīng)成為勒索軟件的重災國家之一，安全防護措施迫在眉睫。因此，在我們?nèi)粘５木W(wǎng)絡使用過程中需要建立良好的安全防范意識，提前準備以便防患于未然。

完整的勒索軟件事件

勒索軟件的入侵

勒索軟件有多種傳輸方式，最常見的是電子郵件中附帶已感染文件和路過式下載，一旦訪問到受感染的網(wǎng)頁就可以在用戶不知情的情況下加載惡意勒索軟件?；趤碓纯刂疲梢詫⒗账鬈浖苤T外。對郵件和訪問網(wǎng)頁進行分析，檢測是否包含有惡意軟件，可隔離沒有業(yè)務相關性的可疑廣告郵件及社交媒體網(wǎng)站，在更為安全的環(huán)境中執(zhí)行或辦公。

聯(lián)軟：郵件和 Web 的訪問控制可以從來源上拒絕勒索軟件。

勒索軟件的危害行為

勒索軟件成功傳輸進用戶終端后，依賴于操作系統(tǒng)、清理軟件和殺毒工具的傳統(tǒng)保護措施往往很難發(fā)覺，靜態(tài)的簽名對比方案在勒索軟件變體更新和盜用簽名的手段面前無力抗衡。對此，基于行為的檢測機制才是發(fā)現(xiàn)和阻止勒索軟件攻擊的關鍵。大部分勒索軟件都有著一系列的共同行為特征，比如創(chuàng)建多線程遍歷所有磁盤，嘗試刪除 Windows 的卷影副本，修改注冊表及服務項，對相關文件進行加密修改等。對于疑為勒索軟件的行為跡象，可進行嚴格監(jiān)控，審批重要進程的行為，并攔截惡意活動。保證任何惡意進程被發(fā)現(xiàn)時都可即時終止，惡意文件立刻隔離。

聯(lián)軟：檢測應用程序和文件訪問的行為可以發(fā)現(xiàn)并阻止勒索軟件。

勒索軟件的擴散

惡意軟件往往有很強的自我增殖能力和流轉(zhuǎn)性，立足于某個網(wǎng)絡漏洞或應用漏洞，入侵后通過交互訪問，從而擴散出去。為此在內(nèi)網(wǎng)建立并實施權限與特權制度，使得并非所有用戶的感染都會影響到關鍵的業(yè)務系統(tǒng)、程序平臺、數(shù)據(jù)文件。同時對網(wǎng)絡和端口進行隔離，保證其他區(qū)域的感染不會輕易擴散到安全區(qū)域?？刂茢?shù)據(jù)交換通道，使得勒索軟件攻擊無法大規(guī)模地爆發(fā)，也不會引起到重要信息的泄露。

聯(lián)軟：數(shù)據(jù)流轉(zhuǎn)控制、業(yè)務系統(tǒng)隔離能在感染范圍上限制勒索軟件。

如何應對勒索軟件？

事前準備

良好的備份和恢復計劃對減小損失幫助極大。勒索軟件對文件的加密和破壞作用極大，往往很難恢復，保障重要數(shù)據(jù)和珍貴信息不被劫持就顯得極為重要。設置可控的安全磁盤，將重要文件和珍貴信息放置在安全環(huán)境下進行存儲和交互，對轉(zhuǎn)入轉(zhuǎn)出地數(shù)據(jù)進行加密管控。勒索軟件無法識別遍歷，對受保護數(shù)據(jù)的劫持加密也就無從談起了。

事中防御

由上文對整個“勒索”過程的分析，針對每個階段我們都可提供相應的安全措施：

入侵階段：通過“郵件和 Web 的訪問控制”，從來源上拒絕勒索軟件。

危害階段：通過“檢測應用程序和文件訪問的行為”，發(fā)現(xiàn)并阻止勒索軟件。

擴展階段：通過“數(shù)據(jù)流轉(zhuǎn)控制、業(yè)務系統(tǒng)隔離”，在感染范圍上限制勒索軟件。

總而言之，無論勒索軟件千變?nèi)f化，最終都是通過劫持信息、加密文件來達到目的。從這一點著手，通過兩個策略即可完成大部分的任務：進程方面，嚴格控制合法進程，如doc僅允許被winword.exe讀?。晃募矫?，將物理文件置于安全區(qū)，僅允許合法進行讀寫該區(qū)域。

事后追蹤

防御空白期、0day 漏洞等一系列不可預計的情況存在，使得網(wǎng)絡攻防戰(zhàn)是一個永恒的話題。往往很難保證信息安全有著絕對防御，于是審計就成為了一件很有必要的事情。

對審計信息的鑒定分析，可以幫助你追蹤到：勒索軟件來自何處，潛伏了多久，做了什么，是否已完全被清除。這些信息能幫助我們規(guī)避一些原本不必要的損失，并確保該勒索軟件不會重復感染。

未來趨勢

縱覽勒索軟件的發(fā)展歷程，由于有“利”可圖，許多惡意軟件開發(fā)都趨于這一方向，運行模式、加密技術、偽裝能力都在不斷的發(fā)展成熟，總會以更專業(yè)化的技術、更隱蔽的傳播方式來劫持在線運營的企業(yè)機構。與此相對，信息安全也不再是為您的業(yè)務添加的某種工具。信息安全和業(yè)務經(jīng)營是一個有機的整體，一個高度融合和協(xié)同合作的共贏體系。