文章摘要： 基于SMB文件共享传播的蠕虫病毒攻击开始了大规模传播，5月12日晚上20时左右，…

由于一带一路高峰论坛明天在北京召开，这是今年中国最大的外交事件，29个国家的国家元首或政府首脑以及来自130多个国家的1500名代表将出席。恰在此时，基于SMB文件共享传播的蠕虫病毒攻击开始了大规模传播，5月12日晚上20时左右，全球爆发大规模勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了教学系统瘫痪，包括校园一卡通系统。

这次的“永恒之蓝”勒索蠕虫，是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。 

解决方法：

根治方法对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010 下载地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务，操作方法见应急处置方法节。

对于Windows XP、2003等微软早已不再提供安全更新的系统，微软也特别为此漏洞提供了补丁下载，下载地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

恢复阶段建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。 

第1章       终端windows PC及服务器检查及处理

注意：操作前请备份重要数据。

1.1 检查系统是否开启共享服务：

1、打开 开始 按钮，点击 运行，输入cmd，点击确定

2、输入命令：netstat -an | find “445” 回车

3、查看结果中是否存在445端口

如下发现445端口开放，代表启用共享服务

对于无共享文件需求的用户，强烈建议关闭共享并更新补丁。

1.2 处理办法一

关闭共享。

以Win7系统为例，操作步骤如下：

—》点击 开始 按钮—》在搜索框中输入 cmd —》右键点击菜单上面出现的cmd图标，选择 以管理员身份运行 —》在出来的 cmd 窗口中执行 “net stop server”命令，会话如下图：

1.3 处理办法二

更新补丁。

官方更新地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010

请根据操作系统选择对应更新 （操纵系统位数查看参见文尾“附”部分）

下载完成后双击运行安装。

1.4 处理办法三（针对mcafee行业用户）

官方解决办法：https://kc.mcafee.com/corporate/index?page=content&id=KB89335

1. 登录mcafee epo

2. 新增自定义规则“Reg-WanaCrypt0r”“file-WanaCrypt0r”

附：

1.5如何检查windows操作系统位数

1. 使用快捷键win+R

2. 输入CMD

3. 输入 systeminfo | find “OS”

其中OS版本代表操作系统类型，上图为win10

4. 输入 systeminfo | find “系统”

其中“系统类型”代表操作系统位数，上图为64位

5. 故，PC为win10 64位