2017年5月12日20時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，波及99個(gè)國家，并仍在迅速蔓延。我國大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染。

WanaCry爆發(fā)，99個(gè)國家被勒索

據(jù)悉，該病毒名為“WannaCry”，利用的漏洞是微軟 Windows 的 EternalBlue MS17-010 SMB。傳播方式為內(nèi)部網(wǎng)絡(luò)傳播，包括 VPN 連接、訪客用的 WI-FI 等能連接到內(nèi)部網(wǎng)的方式，通過機(jī)器開放端口 445 進(jìn)入。攻擊者稱需支付價(jià)值300美元的比特幣解鎖，3日后金額翻倍。如用戶拒絕支付，電腦中的全部資料將于7日內(nèi)被刪除。

讓世界看看，中國的網(wǎng)絡(luò)安全力量！

事件爆發(fā)后，我國網(wǎng)絡(luò)安全界迅速炸開鍋，各安全廠商紛紛啟動(dòng)應(yīng)急措施，各網(wǎng)絡(luò)媒體也紛紛及時(shí)進(jìn)行信息報(bào)道，中國的網(wǎng)絡(luò)安全力量在危及關(guān)頭迅速覺醒，快速應(yīng)對(duì)此次世界性的網(wǎng)絡(luò)危機(jī)。

5月13日凌晨，聯(lián)軟科技的百人安全服務(wù)團(tuán)隊(duì)立即行動(dòng)起來，在過去的短短一天一夜里，已經(jīng)迅速為 130 多家各行業(yè)用戶進(jìn)行了緊急安全排查和加固，并且還在持續(xù)加班加點(diǎn)為更多用戶逐一排查。此次世界級(jí)安全事件，充分體現(xiàn)了中國網(wǎng)絡(luò)安全界一致對(duì)外、迅速解決網(wǎng)絡(luò)危及的行動(dòng)力，讓世界見識(shí)到了什么是網(wǎng)絡(luò)安全強(qiáng)國該有的力量。

針對(duì)WanaCry，正確的安全排查步驟

目前大型企業(yè)、高校、政府網(wǎng)絡(luò)安全管理方面可以趕快測定是否受到了影響：掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放445 SMB服務(wù)端口的終端和服務(wù)器，對(duì)于Win7及以上版本的系統(tǒng)確認(rèn)是否安裝了MS07-010補(bǔ)丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補(bǔ)丁，只要開啟SMB服務(wù)就受影響。未安裝聯(lián)軟產(chǎn)品的網(wǎng)絡(luò)用戶可以嘗試以下解決方案：

1、網(wǎng)絡(luò)層面

強(qiáng)烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445 端口的訪問，如果邊界上有IPS 和下一代防火墻，請(qǐng)升級(jí)設(shè)備的檢測規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS07-010補(bǔ)丁或關(guān)閉了Server服務(wù)。微軟MS17-010補(bǔ)丁下載址：https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、終端層面

關(guān)閉操作系統(tǒng)不必要開放的端口，如445、135、137、138、139端口，關(guān)閉網(wǎng)絡(luò)共享服務(wù)。

3、感染處理

對(duì)于已經(jīng)感染該病毒的機(jī)器，建議隔離處置。

4、預(yù)防要點(diǎn)

a、強(qiáng)化網(wǎng)絡(luò)安全意識(shí)：不明鏈接不要點(diǎn)擊，不明文件不要下載，不明郵件不要打開。

b、盡快（今后定期）備份自己電腦中的重要文件資料到移動(dòng)硬盤、U盤，備份完后脫機(jī)保存該磁盤。

c、建議仍在使用windows xp， windows 2003操作系統(tǒng)的用戶盡快升級(jí)到 window 7/windows 10，或 windows 2008/2012/2016操作系統(tǒng)。

聯(lián)軟用戶安全加固步驟

1、臨時(shí)禁用445端口

通過聯(lián)軟的IT安全運(yùn)維管理平臺(tái)，分發(fā)腳本，對(duì)企業(yè)內(nèi)網(wǎng)所有的終端的445端口進(jìn)行臨時(shí)關(guān)閉，阻斷病毒的傳播途徑。但由于微軟不建議關(guān)閉SMBv2和SMBv3，涉及一些業(yè)務(wù)和系統(tǒng)服務(wù)在使用該服務(wù)，直接關(guān)閉會(huì)影響業(yè)務(wù)或系統(tǒng)的正常運(yùn)行，所以只能臨時(shí)關(guān)閉；

2、更新補(bǔ)丁

利用聯(lián)軟平臺(tái)，逐步有序的檢查和更新MS17-010對(duì)應(yīng)補(bǔ)丁，修補(bǔ)漏洞。特別說明，補(bǔ)丁推送必須先測試，然后按步驟有序推進(jìn)，避免由于環(huán)境中應(yīng)用與補(bǔ)丁沖突導(dǎo)致終端運(yùn)行不正?；蛴绊憳I(yè)務(wù)運(yùn)行；

3、啟用準(zhǔn)入策略

啟用準(zhǔn)入控制，禁止外來不安全終端（未更新MS17-010對(duì)應(yīng)補(bǔ)丁和更新病毒庫的終端）入網(wǎng)；

4、聯(lián)系我們

需要更多技術(shù)資料，請(qǐng)撥打聯(lián)軟科技技術(shù)熱線：400-6288-116。

良好的安全意識(shí)，讓勒索軟件無“利”可圖！

從以往的安全事件爆發(fā)中可以看出，中國已經(jīng)成為勒索軟件的重災(zāi)國家之一，安全防護(hù)措施迫在眉睫。因此，在我們?nèi)粘５木W(wǎng)絡(luò)使用過程中需要建立良好的安全防范意識(shí)，提前準(zhǔn)備以便防患于未然。

完整的勒索軟件事件

勒索軟件的入侵

勒索軟件有多種傳輸方式，最常見的是電子郵件中附帶已感染文件和路過式下載，一旦訪問到受感染的網(wǎng)頁就可以在用戶不知情的情況下加載惡意勒索軟件。基于來源控制，可以將勒索軟件拒之門外。對(duì)郵件和訪問網(wǎng)頁進(jìn)行分析，檢測是否包含有惡意軟件，可隔離沒有業(yè)務(wù)相關(guān)性的可疑廣告郵件及社交媒體網(wǎng)站，在更為安全的環(huán)境中執(zhí)行或辦公。

聯(lián)軟：郵件和 Web 的訪問控制可以從來源上拒絕勒索軟件。

勒索軟件的危害行為

勒索軟件成功傳輸進(jìn)用戶終端后，依賴于操作系統(tǒng)、清理軟件和殺毒工具的傳統(tǒng)保護(hù)措施往往很難發(fā)覺，靜態(tài)的簽名對(duì)比方案在勒索軟件變體更新和盜用簽名的手段面前無力抗衡。對(duì)此，基于行為的檢測機(jī)制才是發(fā)現(xiàn)和阻止勒索軟件攻擊的關(guān)鍵。大部分勒索軟件都有著一系列的共同行為特征，比如創(chuàng)建多線程遍歷所有磁盤，嘗試刪除 Windows 的卷影副本，修改注冊(cè)表及服務(wù)項(xiàng)，對(duì)相關(guān)文件進(jìn)行加密修改等。對(duì)于疑為勒索軟件的行為跡象，可進(jìn)行嚴(yán)格監(jiān)控，審批重要進(jìn)程的行為，并攔截惡意活動(dòng)。保證任何惡意進(jìn)程被發(fā)現(xiàn)時(shí)都可即時(shí)終止，惡意文件立刻隔離。

聯(lián)軟：檢測應(yīng)用程序和文件訪問的行為可以發(fā)現(xiàn)并阻止勒索軟件。

勒索軟件的擴(kuò)散

惡意軟件往往有很強(qiáng)的自我增殖能力和流轉(zhuǎn)性，立足于某個(gè)網(wǎng)絡(luò)漏洞或應(yīng)用漏洞，入侵后通過交互訪問，從而擴(kuò)散出去。為此在內(nèi)網(wǎng)建立并實(shí)施權(quán)限與特權(quán)制度，使得并非所有用戶的感染都會(huì)影響到關(guān)鍵的業(yè)務(wù)系統(tǒng)、程序平臺(tái)、數(shù)據(jù)文件。同時(shí)對(duì)網(wǎng)絡(luò)和端口進(jìn)行隔離，保證其他區(qū)域的感染不會(huì)輕易擴(kuò)散到安全區(qū)域。控制數(shù)據(jù)交換通道，使得勒索軟件攻擊無法大規(guī)模地爆發(fā)，也不會(huì)引起到重要信息的泄露。

聯(lián)軟：數(shù)據(jù)流轉(zhuǎn)控制、業(yè)務(wù)系統(tǒng)隔離能在感染范圍上限制勒索軟件。

如何應(yīng)對(duì)勒索軟件？

事前準(zhǔn)備

良好的備份和恢復(fù)計(jì)劃對(duì)減小損失幫助極大。勒索軟件對(duì)文件的加密和破壞作用極大，往往很難恢復(fù)，保障重要數(shù)據(jù)和珍貴信息不被劫持就顯得極為重要。設(shè)置可控的安全磁盤，將重要文件和珍貴信息放置在安全環(huán)境下進(jìn)行存儲(chǔ)和交互，對(duì)轉(zhuǎn)入轉(zhuǎn)出地?cái)?shù)據(jù)進(jìn)行加密管控。勒索軟件無法識(shí)別遍歷，對(duì)受保護(hù)數(shù)據(jù)的劫持加密也就無從談起了。

事中防御

由上文對(duì)整個(gè)“勒索”過程的分析，針對(duì)每個(gè)階段我們都可提供相應(yīng)的安全措施：

入侵階段：通過“郵件和 Web 的訪問控制”，從來源上拒絕勒索軟件。

危害階段：通過“檢測應(yīng)用程序和文件訪問的行為”，發(fā)現(xiàn)并阻止勒索軟件。

擴(kuò)展階段：通過“數(shù)據(jù)流轉(zhuǎn)控制、業(yè)務(wù)系統(tǒng)隔離”，在感染范圍上限制勒索軟件。

總而言之，無論勒索軟件千變?nèi)f化，最終都是通過劫持信息、加密文件來達(dá)到目的。從這一點(diǎn)著手，通過兩個(gè)策略即可完成大部分的任務(wù)：進(jìn)程方面，嚴(yán)格控制合法進(jìn)程，如doc僅允許被winword.exe讀?。晃募矫?，將物理文件置于安全區(qū)，僅允許合法進(jìn)行讀寫該區(qū)域。

事后追蹤

防御空白期、0day 漏洞等一系列不可預(yù)計(jì)的情況存在，使得網(wǎng)絡(luò)攻防戰(zhàn)是一個(gè)永恒的話題。往往很難保證信息安全有著絕對(duì)防御，于是審計(jì)就成為了一件很有必要的事情。

對(duì)審計(jì)信息的鑒定分析，可以幫助你追蹤到：勒索軟件來自何處，潛伏了多久，做了什么，是否已完全被清除。這些信息能幫助我們規(guī)避一些原本不必要的損失，并確保該勒索軟件不會(huì)重復(fù)感染。

未來趨勢

縱覽勒索軟件的發(fā)展歷程，由于有“利”可圖，許多惡意軟件開發(fā)都趨于這一方向，運(yùn)行模式、加密技術(shù)、偽裝能力都在不斷的發(fā)展成熟，總會(huì)以更專業(yè)化的技術(shù)、更隱蔽的傳播方式來劫持在線運(yùn)營的企業(yè)機(jī)構(gòu)。與此相對(duì)，信息安全也不再是為您的業(yè)務(wù)添加的某種工具。信息安全和業(yè)務(wù)經(jīng)營是一個(gè)有機(jī)的整體，一個(gè)高度融合和協(xié)同合作的共贏體系。