永恒之蓝勒索蠕虫攻击全球.DG

Wannacry(永恒之蓝)勒索蠕虫攻击全球医疗机构 已影响全球100国家

5月12日，英国16家医院同时遭遇Wannacry(永恒之蓝)勒索蠕虫攻击，导致伦敦、诺丁汉等多地医院的IT系统瘫痪。随后，该勒索蠕虫在全球开始传播。五个小时内，包括美国、俄罗斯以及整个欧洲在内的100多个国家，以及国内高校内、大型企业内和政府机构专中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

长期以来，医院一直是敲诈蠕虫攻击的重要目标。2016年2月5日，美国好莱坞长老教会纪念医学中心的电脑系统在遭受为期一星期的敲诈者病毒攻击后，该中心宣布决定支付给黑客40比特币(约17000美元)来修复这一问题。随后加拿大渥太华的一家医院和安大略省的一家医院也被敲诈者病毒攻击。

这次的永恒之蓝勒索蠕虫，是NSA络军火民用化的全球第一例。一个月前，第四批NSA相关络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括永恒之蓝攻击程序。

而且VirtualBox体积只有100M之内在之前就已经爆发的多次利用445端口进行蠕虫攻击的事件中，部分运营商在主干络上已经封禁了445端口，但是教育以及大量企业内并没有此限制，而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致了这次永恒之蓝勒索蠕虫的泛滥。

360企业安全资深安全专家表示，隔离不等于安全，医院隔离的专本身就是一个小规模的互联，需要当作互联来建设。针对此次安全事件，强烈建议企业安全管理员在络边界的防火墙上阻断445端口的访问，并升级设备的检测规则到最新版本，同时设置相应漏洞攻击的阻断，直到确认络内的电脑已经安装了微软MS补丁或关闭了Server服务。

而通过此次永恒之蓝勒索蠕虫事件我们发现，目前国内机构的IT系统中，存在着防火墙品牌不一致的问题，这就导致安全事件爆发时防火墙无法实现安全策略的集中下发，直接影响到了机构对安全事件的应急响应速度。

针对永恒之蓝勒索蠕虫，360企业安全专家建议: 对已经感染勒索蠕虫的机器建议隔离处置

。

对尚未发现攻击的机构，络管理员在络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认内的电脑已经安装了MS补丁或关闭了Server服务。在终端层面暂时关闭Server服务。对于已经感染勒索蠕虫的机器建议隔离处置。

对于Win7及以上版本的操作系统，目前微软已发布补丁MS修复了永恒之蓝攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务。

对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360NSA武器库免疫工具检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址： 。这些老操作系统的机器建议加入淘汰替换队列，尽快进行升级。

同时建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。