5月12日，互联网上出现针对Windows操作系统的勒索软件的攻击案例，勒索软件利用此前披露的Windows SMB服务漏洞（对应微软漏洞公告：MS17-010）攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物。包括高校、能源等重要信息系统在内的多个国内用户受到攻击，已对我国互联网络构成较为严重的安全威胁。  

一、 勒索软件情况

勒索软件是指恶意攻击者利用目标存在的风险（系统漏洞、人员意识不足）攻击目标，在目标计算机获取权限后使用“加密程序”加密（据分析，在有限时间内无法解密，只有攻击才能利用“特殊解密程序”才能解密）用户的关键数据，用户被迫无奈只能支付才能解密数据。  

本次事件中该勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前黑客组织“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。当用户主机系统被该勒索软件入侵后，弹出勒索对话框，提示勒索目的并向用户索要比特币。而用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。  

二、 应急处置措施

建议广大用户及时更新Windows已发布的安全补丁，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：  

（一）关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口；  

（二）加强对445等端口（其他关联端口如: 135、137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；  

（三）由于微软对部分操作系统停止安全更新，建议对Window XP和Windows server 2003主机进行排查（MS17-010更新已不支持），使用替代操作系统。  

（四）做好信息系统业务和个人数据的备份。  

测评中心后续将密切监测和关注该勒索软件的攻击情况，对有可能出现的新的攻击传播手段、恶意样本进行跟踪防范。  

附：参考链接：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0（微软发布的官方安全公告）

http://www.cnvd.org.cn/webinfo/show/4110（CNVD安全公告）

咨询方式：

联系人：王楠、李灏

联系电话：029-88319550-8017或8013