关于防范勒索软件病毒攻击的通知

近日，新型 WannaCry 蠕虫勒索病毒在全球范围爆发。
该勒索病毒主要利用了此前由黑客组织泄漏的永恒之蓝（EternalBlue）工具利用的Windows SMB服务漏洞（对应微软漏洞公告：MS17-010）进行扩散传播，并采用高强度的加密破坏多种格式用户文档，向用户勒索比特币等。

此次漏洞和病毒攻击影响广泛，涉及几乎全部 Windows 平台，除了今年3月发布的 Windows 10 创意者更新已内置补丁修正不受影响外（该病毒利用的漏洞是今年2月份泄漏给微软的，微软当时即发布了紧急更新补丁），其他未及时修补的 Windows 系统均处于风险中。
除了当前处于微软维护期间且启用自动更新的 Windows 7 以上系统平台（不包括 Windows 8）电脑外，Windows XP 、 Windows 2003 等系统必须进行手动修补。

该病毒技术主要利用的微软 Windows 系统文件共享445端口的漏洞，可以在公网和内网内进行广泛传播破坏。
感染病毒并发作的的用户电脑会被以高强度的加密方式破坏多种格式用户文档（极难解密恢复），并弹出窗口向用户勒索比特币进行解密，同时向公网和内网中扩散传播。
处于扫描攻击下开放445文件共享端口且未做防护的用户电脑，无需用户任何操作，只要开机上网，就能被植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

此次病毒利用的漏洞攻击代码影响广破坏大，且绝不会仅限于此次病毒攻击的单一事件。
因此，强烈建议用户立即进行补丁修正，并检查确认补丁安装成功。
局域网内的用户电脑如发现有感染病毒发作的迹象，应立即断开网络，等候相应技术人员处理。
不使用文件共享功能的用户电脑，可选择关闭文件共享功能，并用防火墙策略阻断445等端口进行防范。
用户应安装安全防控软件，并及时更新病毒库等。
建议 Windows 7 及以上系统启用自动更新并及时进行补丁更新。
勤做重要文件的本地和异地备份。

国内几大安全厂商对此均推出了相应解决方案，用户可自行选择查看。

补丁安装成功与否手工复查方法：
检查并确定文件 C:\Windows\System32\drivers\srv.sys 的文件日期为2017年2月之后的日期。
或使用瑞星免疫工具进行复查。

请尽快访问下述网站确保进行系统安全更新：
Microsoft 安全公告 MS17-010 - Microsoft Windows SMB 服务器安全更新 (4013389)
https://technet.microsoft.com/zh-cn/library/security/MS17-010

或者，你也可以选择在此处下载安装系统补丁文件：

补丁下载
系统平台补丁

本地下载远程下载

Windows XP x86-32位 KB4012598 KB4012598

Windows 2003 x86-32位 KB4012598 KB4012598

x64-64位 KB4012598 KB4012598

Windows 7 x86-32位 KB4012212 KB4012212

x64-64位 KB4012212 KB4012212

Windows 2008 x86-32位 KB4012598 KB4012598

x64-64位 KB4012598 KB4012598

Windows 8 x86-32位 KB4012598 KB4012598

x64-64位 KB4012598 KB4012598

Windows 8.1 x86或x64 启用自动更新安装补丁，或访问 MS17-010下载安装

Windows 10 x86或x64 启用自动更新安装补丁，或访问 MS17-010下载安装

补丁下载
系统	平台	补丁
本地下载	远程下载
Windows XP	x86-32位	KB4012598	KB4012598
Windows 2003	x86-32位	KB4012598	KB4012598
x64-64位	KB4012598	KB4012598
Windows 7	x86-32位	KB4012212	KB4012212
x64-64位	KB4012212	KB4012212
Windows 2008	x86-32位	KB4012598	KB4012598
x64-64位	KB4012598	KB4012598
Windows 8	x86-32位	KB4012598	KB4012598
x64-64位	KB4012598	KB4012598
Windows 8.1	x86或x64	启用自动更新安装补丁，或访问 MS17-010下载安装
Windows 10	x86或x64	启用自动更新安装补丁，或访问 MS17-010下载安装

免疫、封堵端口和补丁工具
瑞星免疫及修补工具(推荐)	本地下载远程链接远程下载
NSA漏洞端口封堵工具	本地下载
wwdc(Windows Worms Doors Cleaner)	本地下载
解密工具wanakiwi(限未重启时)	远程链接

黑客代码对于补丁公告
黑客代码	补丁公告
EternalBlue	MS17-010
EmeraldThread	MS10-061
EternalChampion	CVE-2017-0146 & CVE-2017-0147
ErraticGopher	自 Windows Vista 起已修正
EsikmoRoll	MS14-068
EternalRomance	MS17-010
EducatedScholar	MS09-050
EternalSynergy	MS17-010
EclipsedWing	MS08-067

相关资料和下载：
关于防范Windows操作系统勒索软件Wannacry的情况通报(国家互联网应急中心)
http://www.cert.org.cn/publish/main/49/2017/20170513170143329476057/20170513170143329476057_.html
关于警惕“影子经纪人”事件系列漏洞威胁的预警通报
http://www.cert.org.cn/publish/main/12/2017/20170519125103713489109/20170519125103713489109_.html
瑞星应对“WanaCrypt”蠕虫敲诈病毒的开机指南
http://it.rising.com.cn/dongtai/18842.html
“永恒之蓝”勒索病毒解决方案
http://www.rising.com.cn/2017/eb/
瑞星永恒之蓝免疫工具
http://it.rising.com.cn/dongtai/18841.html
瑞星之剑
http://www.rising.com.cn/j/
电脑管家防范勒索病毒
http://guanjia.qq.com/wannacry/

附，关于瑞星“永恒之蓝”免疫工具的使用：
1.病毒互斥可防控本机病毒发作（未测试证明）；
2.病毒活性域名可防控病毒在内网内进行扩散传播（未测试证明）；
3.关闭SMBv1，因为此次病毒攻击的漏洞是基于SMBv1服务的，关闭SMBv1服务可阻止病毒扩散传播，只有Vista之后系统才增加了v2v3版SMB服务协议，如果内网内没有XP、2003系统电脑需访问本机文件共享，可以选择关闭SMBv1进行防范；
4.增加防火墙规则，如果内网不需要文件共享功能，则可选择封堵445端口（XP系统似乎需要手动启用防火墙）；
5.打系统补丁，请勾选此项，该工具会将当前系统补丁文件下载至data目录并应用补丁，可以事先下好补丁文件放到这个目录来实现离线给其他电脑检查并安装补丁；
6.执行免疫操作（如果可选），你可能需要重启电脑来保证免疫生效。
7.取消免疫操作（如果可选），反转防火墙的阻断端口操作。
8.病毒专杀，查杀病毒（未测试）。
9.解密工具，仅当病毒发作未重启电脑时，会从内存中获取私钥用于解密（未测试）。

沈阳运输集团·信息中心 2017.5