關于新型“蠕蟲”式勒索軟件大規模爆發的情況通報（續報）

  昨日，英國、意大利、俄羅斯等全球100多個國家爆發比特幣勒索病毒攻擊，我國教育網大量用戶也出現感染情況，學校用戶電腦文件被病毒加密，只有支付贖金才能恢復。目前，已有多個行業單位報告感染事件，病毒疫情快速蔓延，嚴重影響我國網絡和信息安全。對此，國家通報中心組織相關專家、單位進行研究，再次提出應對及處置措施，請各單位迅速做好相關工作，確保“一帶一路”國際合作高峰論壇期間網絡安全。具體情況如下：

  一、初步分析

  此次勒索病毒利用NSA泄漏的“永恒之藍”網絡武器傳播，“永恒之藍”可遠程攻擊Windows的445端口(文件共享端口)，可直接遠程執行任意代碼，植入勒索病毒等惡意程序。

  此次利用的SMB漏洞影響以下未自動更新的操作系統：Windows XP／Windows 2000／Windows 2003/Windows Vista/Windows 7／Windows 8／Windows 10，Windows Server 2008／WindowsServer 2008 R2 Windows Server 2012／Windows Server 2012 R2／Windows Server 2016等全版本操作系統；

  由于國內曾多次出現利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網和部分專用網絡并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

  “永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。

  目前，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，并在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

  ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒，專門選擇高性能服務器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

  二、有關處置建議

  （一）立即將此情況向本行業、本單位的有關部門通報，組織對內網所有開放445 SMB服務端口的終端和服務器進行檢測，一旦發現有病毒感染、傳播情況，立即采取斷網和硬盤格式化等措施。

  （二）立即安裝微軟MS17-010補丁，補丁下載地址為：https://technet.microsoft.com/zh-cn/library/security/MS17-010；對Windows XP、2003等微軟已不再提供安全更新操作系統進行更新升級；使用360“NSA武器庫免疫工具”等進行防護。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe。

  （三）啟用并打開“Windows防火墻”，進入“高級設置”，禁用“文件和打印機共享”相關規則，關閉UDP135、445、137、138、139端口，關閉網絡文件共享，嚴防移動設備交叉傳染。

   （四）盡快備份電腦重要文件數據，安裝正版操作系統、Office軟件并及時更新，加強電子郵件安全檢測。