近日， 互联网上出现利用勒索软件攻击 Windows 操作系统的案例。 勒索软件利用此前网上披露的 Windows SMB 服务漏洞（ 对应微软漏洞公告： MS17-010） 攻击手段， 向终端用户进行渗透、 传播。用户主机系统一旦被该勒索软件入侵， 主机上的重要数据文件（ 如照片、 图片、 文档、 压缩包、 音频、 视频、 可执行程序等） 将被恶意加密、 后缀名被统一修改为“.WNCRY”， 并弹出勒索对话框向用户索要比特币赎金。 虽然， 用户可通过重装操作系统来解除勒索行为， 但重要数据文件不能直接恢复。 据报道， 相关事件涉及国内外众多用户， 已构成较为严重的网络安全威胁。 信息中心已经在学校防火墙上关闭了445 等端口。为确保网络安全稳定运行， 请各位对自己的电脑开展排查处置工作：

一、 立即更新最新操作系统补丁：
  （ 一）Microsoft 安全公告（MS17-010） 及补丁下载地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx。
  （ 二）Microsoft 发布的 Windows XP 和 Windows 2003 特别补丁： https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。
  （ 三） 可选择安装国内安全厂商的补丁工具， 如 360 安全中心推出的“NSA 武器库免疫工具” (http://dl.360safe.com/nsa/nsatool.exe)。

二、 立即关闭个人计算机或服务器的 445 等端口(其他关联端口如：135、137、139) 的外部网络访问权限（ 具体操作方法见附件 2）；加强对 445 等端口（ 其他关联端口如: 135、 137、139) 的内部网络区域访问审计， 及时发现非授权行为或潜在的攻击行为。

三、 对已中该勒索病毒并被恶意锁定文件的服务器、 个人计算机， 要立即关机并断开网络链接， 防止病毒进一步扩散。

四、 尽快做好信息系统业务和个人数据的备份； 不要打开可疑、来历不明的电子邮件及附件； 自 建邮件系统的单位， 要及时有效开启垃圾、 病毒邮件过滤等功能。

五、关闭 445 端口操作指引
一、 查看 445 端口 是否开放并决定是否关停 server 服务
    点击“开始” ->“运行” ->输入“cmd” ->输入“netstat -an ” ->回车->查看 445 端口 状态如果处于“listening” ->暂时关停 server 服务：点击“开始” ->搜索框输入“cmd” ->右键菜单选择“以管理员身份运营” ->执行“net stop server” 命令
二、 个人用户临时解决方案
    开启系统防火墙->利用系统防火墙高级设置阻止向 445 端口进行连接->安装相应系统安全更新（ 一）win7/win8/win10：控制面板->系统与安全->启用 Windows 防火墙->点击"高级设置"->点击“入站规则” ->选择"新建规则"->规则类型选择“端口” ->应用于“TCP” 协议 特定本地端口 并输入“445” ->“操作” 选择“阻止连接” ->“配置文件” 中“规则应用” 全部勾选->罪责名称任意输入并点击完成（ 二）winxp：控制面板->安全中心->启用“Windows 防火墙” ->点击“开始” ->“运行” ->输入“cmd” ->依次执行“net stop rdr”、“net stop srv” 和“net stop netbt” 三条命令->升级操作系统

教育信息中心
2017-05-16