詳解NSA「永恆之藍」勒索蠕蟲爆發 附解決辦法及預防措施

本文作者：李勤

導語：內附內附解決辦法及預防措施。

5 月 12 日晚上 20 時左右，全球爆發大規模勒索軟體感染事件，用戶只要開機上網就可被攻擊。五個小時內，包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢復文件，這場攻擊甚至造成了教學系統癱瘓，包括校園一卡通系統。

［來源：中國之聲］

攻擊次數高，勒索金額大

據雷鋒網(公眾號：雷鋒網)了解，這次事件是不法分子通過改造之前泄露的 NSA 黑客武器庫中「永恆之藍」攻擊程序發起的網路攻擊事件。

這次的「永恆之藍」勒索蠕蟲，是 NSA 網路軍火民用化的全球第一例。一個月前，第四批 NSA 相關網路攻擊工具及文檔被 Shadow Brokers 組織公布，包含了涉及多個 Windows 系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

惡意代碼會掃描開放 445 文件共享埠的 Windows 機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

目前，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為 5 萬多元和 2000 多元。

安全專家還發現，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

沒有關閉的 445 埠「引狼入室」

據360企業安全方面5月13日早晨提供給雷鋒網的一份公告顯示，由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網路上封禁了445埠，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。

因此，該安全事件被多家安全機構風險定級為「危急」。

目前，雷鋒網尚未獲得中國範圍內具體 445 埠開放的機器數量。但是，雷鋒網了解到，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

目前大型企業、高校、政府網路安全管理方面可以趕快測定是否受到了影響：

掃描內網，發現所有開放445 SMB服務埠的終端和伺服器，對於Win7及以上版本的系統確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁，只要開啟SMB服務就受影響。

個人可自行判定電腦是否打開了 445 埠。

不過，在對360 企業安全資深專家汪列軍的採訪中，雷鋒網了解到，目前 90 %未關閉的 445 埠集中在中國台灣和香港地區，大陸地區雖然佔比很少，但基數很大。雖然，在2008年遭受類似的蠕蟲攻擊後，運營商已經封閉了大多數445埠，但是很多類似於教育網、大型企業內網等相對獨立的網路沒有自動關閉 445埠，所以影響範圍很大。

汪列軍判定，該攻擊已經肆虐到了全世界上百個國家和地區，這種大規模的勒索攻擊十分罕見，他昨晚甚至在通宵加班，緊急處理該問題。

雷鋒網發現，多家安全公司都進行了緊急處理，在今晨5、6點左右開始對外發布緊急通知。

最恐怖的一點在於，對裝載Win7及以上版本的操作系統的電腦而言，目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，可以立即電腦安裝此補丁。汪列軍說，對個人電腦，可能可以自行學習及裝載，但是對於大型組織機構而言，面對成百上千台機器，必須使用集中管理的客戶端，尤其如果之前沒有做好安全防護措施的大型組織管理機構，處理起來十分棘手。

之前提到，有兩個勒索家族出現，汪列軍認為，不排除該勒索蠕蟲出現了多個變種。

不法分子是將此前公布的「永恆之藍」攻擊程序改裝後進行的攻擊。汪列軍解析，可以理解為該NSA攻擊工具內核沒變，但是不法分子改變了其「載核」，加上了勒索攻擊的一系列調動工具，由於該NSA攻擊工具可以被公開下載，不排除可有多個不法分子改裝該工具發動勒索襲擊。

應急處理辦法

以下為360企業安全提供給雷鋒網的一份處理辦法建議：

網路層面

目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫，強烈建議網路管理員在網路邊界的防火牆上阻斷 445 埠的訪問，如果邊界上有 IPS 和 360 新一代智慧防火牆之類的設備，請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷，直到確認網內的電腦已經安裝了MS07-010補丁或關閉了Server服務。

終端層面

暫時關閉Server服務。

檢查系統是否開啟Server服務：

1、打開 開始 按鈕，點擊 運行，輸入cmd，點擊確定

2、輸入命令：netstat -an 回車

3、查看結果中是否還有445埠

如果發現445埠開放，需要關閉Server服務，以Win7系統為例，操作步驟如下：

點擊 開始 按鈕，在搜索框中輸入 cmd ，右鍵點擊菜單上面出現的cmd圖標，選擇 以管理員身份運行 ，在出來的 cmd 窗口中執行 「net stop server」命令，會話如下圖：

感染處理

對於已經感染勒索蠕蟲的機器建議隔離處置。

根治方法

對於Win7及以上版本的操作系統，目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請立即電腦安裝此補丁。出於基於許可權最小化的安全實踐，建議用戶關閉並非必需使用的Server服務，操作方法見 應急處置方法 節。

對於Windows XP、2003等微軟已不再提供安全更新的機器，推薦使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe 。這些老操作系統的機器建議加入淘汰替換隊列，儘快進行升級。

恢復階段

建議針對重要業務系統立即進行數據備份，針對重要業務終端進行系統鏡像，製作足夠的系統恢復盤或者設備進行替換。

此外，已有安全廠商發布了預防處理類產品，大家自行搜索一下吧！

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！