2017年5月12日晚间，全球范围内有近百个国家、7.5万台电脑遭到大规模网络攻击，被攻击者被要求支付比特币解锁。英国多家医院的网络系统甚至瘫痪，本次大规模的网络攻击并不仅限于英国，有相关数据显示，在美国、俄罗斯、西班牙等全球近百个国家和地区都监测到了这种恶意勒索软件的攻击。包括我国多所高校在内的计算机系统也受到不同程度的攻击。时值毕业论文季，这种病毒在国内一些高校的教育网、校园网已经造成影响，致使一些实验室数据和毕业设计被锁，被攻击者只有支付高额赎金才能解密恢复文件。

新元信息公司 针对 勒索病毒“WannaCry”的防范措施

单位用户首先需要做的是

一、及时安装补丁

采用补丁管理软件进行全部服务器的补丁更新。

微软官方发布的声明称，涉及的大部分漏洞已在微软支持的产品中修复，广大用户及时更新Windows已发布的安全补丁即可从源头防止主机感染病毒。

Microsoft 安全补丁MS17-010 下载地址：

该补丁是2017年3月份刚公布的，修复了3个SMB重大漏洞，请尽快下载补丁进行升级。

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

由于本次Wannacry蠕虫事件的巨大影响，微软总部发布的已停服XP和部分服务器版特别补丁。如仍在使用Windows xp，Windows 2003操作系统的用户，参考如下微软公告进行补丁更新：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

二、关闭445端口与相关服务

考虑到近期有可能出现的攻击威胁，CNVD（国家信息安全漏洞共享平台）建议相关单位和个人用户做好以下措施：

（一）关闭135、137、139、445等端口的外部网络访问权限，在服务器上关闭不必要的上述服务端口；

（二）加强对135、137、139、445等端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为。

*打开控制面板中的Windows防火墙，并保证防火墙处于启用状态，打开防火墙的高级设置，在“入站规则”中新建一条规则，本地端口号选择445，操作选择阻止连接，同时建议关闭135、137、138、139端口。

三、具有病毒库防护设备及时更新病毒库最新版本

（一）网络边界设备防火墙、路由器、核心交换机、入侵防御、上网行为管理等网络设备，开启IPS防护功能并及时更新到最新特征库版本。

（二）服务器与客户端设备已经部署了传统杀毒软件的客户，请及时将病毒特征定义库更新到最新版本。

*详尽的各家安全厂商KB库或病毒库版本请及时向我公司索取。

四、如何长期避免勒索软件与变种病毒的攻击防护

（一）部署下一代端点安全系统，针对勒索病毒威胁 Sophos Intercept X 反勒索软件可以通过填补系统漏洞技术阻止勒索程序的威胁，是业内领先的防勒索系统。Sophos Intercept X不仅能阻止勒索软件进行文件数据加密，最重要是可以将已加密文件自动回滚生成原文件副本，从而保护电脑重要文件数据及资金不会遭受损失。不同于传统杀软技术！

Sophos Intercept X 防漏洞攻击技术可以和第三方传统杀软方案相兼容。勒索软件不是病毒，实质是黑客利用漏洞技术攻击的方式，传统杀软病毒库不具有及时防护性，以及防止漏洞攻击的通用性，只有掌握防漏洞攻击技术才是根本。

（二）做好日常的数据备份，保证数据安全有效性及可恢复性。示例如下：

    针对客户端设备的文件集中备份解决方案：Veritas DLO

    针对服务器端集中备份解决方案：Veritas Backup Exec 、NetBackup 等

    *通过磁带介质或可移动设备将备份的数据离线出库及异地保存。

（三）养成良好的个人上网行为习惯，对不明邮件/未知网址链接不予理睬或点击。

五、目前受影响的系统有

Windows XP／Windows 2000／Windows 2003/Windows Vista/Windows 7／Windows 8／Windows 10／Windows Server 2008／WindowsServer 2008 R2 /Windows Server 2012／Windows Server 2012 R2／Windows Server 2016等全版本操作系统。

    为什么我们买了很多安全设备，可是这样的一些问题还是会发生呢？安全是相对的是无止境的，我们能做的是尽量完善技术措施，做好安全防护工作，积极推进各项国家要求的安全体系建设，及时发现问题，解决问题，我们没法杜绝所有风险，但是我们可以把安全风险降到最低。数据备份了吗？等级保护工作及时开展了吗？6月1日网络安全法就正式实施了，勒索病毒已经给我们上了一节非常生动具体的安全大课了，是时候该我们做点什么了，不要等到一些安全事件发生在我们身上的时候再去弥补。

勒索病毒攻击事件背景

2017年5月12日20时，全球爆发大规模的勒索软件感染事件，各国大量行业企业内网大规模感染，造成各种系統瘫痪。该勒索软件是一个名称为“WannaCry”（永恒之蓝）的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。

中央电视台CCTV 13 新闻频道报到

英国多家医院的网络系统遭受攻击甚至瘫痪

被攻击者被要求支付比特币解锁

全球多地勒索软件攻击事件

部分对外服务窗口多媒体机被攻击导致无法使用

反勒索软件解决方案

SOPHOS Intercept X的反勒索程序及时阻止勒索软件的运行，还可以零时差防御已知或未知漏洞利用，并且帮助您进行根本原因分析。无病毒特征库保护机制，无需等待后知后觉的更新行为。它可以和其他杀毒软件兼容使用，并采用“行为判断和回滚”机制行之有效的保护好您的重要数据。

有关反勒索软件资料与视频演示请复制以下链接，如需试用请来电索取：

Sophos Intercept X 防御勒索软件产品手册：http://pan.baidu.com/s/1jIytwyU

Sophos Intercept X 防御勒索软件视频演示：http://pan.baidu.com/s/1mhNH6Ta

我公司具有：

Sophos金牌合作伙伴及技术支持中心

Symantec金牌合作伙伴(专业20年)

Veritas白金技术合作伙伴

我们是专业数据存储供应商

欢迎来电咨询详尽解决方案，为您的网络安全与数据安全保驾护航，并为客户提供本次威胁攻击所提供安全防护技术保障 服务电话：010-82897256

北京东方飞鸿新元信息技术有限公司

Beijing New Era Information Technology Co., Ltd.

ADD：北京市海淀区上地信息路甲28号科实大厦A座8层C1室 100085

TEL：010-82897256  82897257  82897258

FAX：010-82897259 转 802

WEB：www.bjdffh.com.cn

真诚期待着与您的合作！