一、Wannacry 勒索蠕蟲病毒事件背景

北京時間2017年5月12日晚，勒索軟件"WannaCry"感染事件爆發，全球范圍內150個國家遭到大規模網絡攻擊，被攻擊者電腦中的文件被加密，被要求支付比特幣以解密文件；眾多行業受到影響，比如英國的NHS服務，導致至少40家醫療機構內網被攻陷，電腦被加密勒索；而我國眾多行業的也是如此，其中又以教育網最為顯著，導致部分教學系統無法正常運行，相關學子畢業論文被加密等。截止到北京時間5月15日09點，目前事件趨勢已經蔓延到更多行業，包含金融、能源、醫療、交通等行業均受到影響。

今年4月14日黑客組織Shadow Brokers（影子經紀人）公布了Equation Group（方程式組織）使用的"網絡軍火"，其中包含了一些Windows漏洞（微軟編號為MS17-010）和利用工具，這些漏洞利用中以Eternalblue（永恒之藍）最為方便利用，并且網上出現的相關攻擊腳本和利用教程也以該漏洞為主，而在4月14日后我們監控捕獲的多起Windows主機入侵事件均是以利用Eternalblue進行入侵；Eternalblue可以遠程攻擊Windows的445端口，該端口主要用于基于SMB協議的文件共享和打印機共享服務。在以往捕獲的利用Eternalblue進行入侵攻擊的事件，黑客主要進行挖礦、DDoS等行為，而本次事件則是利用該漏洞進行勒索病毒的植入和傳播。

本次事件影響范圍廣泛，本指引意在指導云上用戶在遭受攻擊前后進行相關處理，個人用戶也可參考部分章節。 ?

二、云用戶主機應急修復及安全防范指引

2.1 確認機器是否已感染 WannaCry 蠕蟲病毒

檢查主機是否存在如下類似紅色贖金支付界面：

2.2 已感染主機應急修復指引

如存在以上類似紅色勒索界面，則說明主機已經感染蠕蟲病毒，您可以采取如下措施進行修復：

步驟 1： 及時止損并離線備份重要數據

云用戶可以以去掉綁定的外網 IP 等方式隔離已遭受攻擊電腦，避免感染其他機器，同時可以在云內網通過 ftp 方式拷貝還未被加密的文件到內網其他安全服務器。

部分電腦帶有系統還原功能，可以在未遭受攻擊之前設置系統還原點，這樣即使遭受攻擊之后可以還原系統，找回被加密的原文件，不過還原點時間到遭受攻擊期間的文件和設置將會丟失。

與此同時，大部分安全軟件已經具有該勒索軟件的防護能力或者其他免疫能力等，可以安裝這些安全軟件，開啟實時防護，避免遭受攻擊。

    步驟 2： 開展病毒清理

步驟 3： 嘗試解密方案

嘗試方案 1：嘗試通過已解密的交易記錄進行解密
     打開勒索軟件界面，點擊 copy（復制黑客的比特幣地址）

把 copy 粘貼到 btc.com （區塊鏈查詢器）；

在區塊鏈查詢器中找到黑客收款地址的交易記錄，然后隨意選擇一個 txid（交易哈希值）；

把 txid 復制粘貼給 勒索軟件界面按鈕 connect us；

等黑客看到后，再點擊勒索軟件上的 check payment；

再點擊 decrypt 解密文件即可；

嘗試方案 2：嘗試開源的腳本(需 python3 環境)來運行嘗試恢復

下載鏈接：

https://github.com/QuantumLiu/antiBTCHack

嘗試方案 3：嘗試使用勒索軟件自帶恢復功能恢復已被蠕蟲病毒刪除的文件

勒索軟件帶有恢復部分加密文件的功能，可以直接通過勒索軟件恢復部分文件，不過該恢復有限；直接點擊勒索軟件界面上的"Decrypt"可彈出恢復窗口，顯示可免費恢復的文件列表，然后點擊"Start"即可恢復列表中文。

       

嘗試方案 4：嘗試使用第三方數據恢復工具恢復已被蠕蟲病毒刪除的文件。
     根據對勒索病毒分析，勒索軟件在加密文件后會刪除源文件，所以通過數據恢復軟件有一定概率恢復已被加密的部分文件，可以使用第三方數據恢復工具嘗試數據恢復，如 easyrecovery 等工具可幫助用戶恢復部分已經刪除的數據，但可能無法恢復加密數據。

如以上方式均無效，建議您重新安裝系統。

2.3 未感染主機安全防范指引

如暫未出現類似被勒索紅色彈框，建議及時進行自查和加固，避免被感染，您可以采取如下措施進行：

方式 1：利用 Windows Update 進行系統更新

利用系統自帶的 Windows Update 進行系統更新，更新到最新。對于離線用戶，亦可以通過如下補丁下載地址進行安裝：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

下載后，點擊“下一步” 進行安裝。

方式 2：關閉受影響 SMBv1 服務

3.1 對于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于 Windows 8.1 客戶端操作系統：
     1> 打開“控制面板”，單擊“程序”，然后單擊“打開或關閉 Windows 功能”。

2> 在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復選框，然后單擊“確定”以關閉此窗口。

3>  重啟系統，使配置生效。

對于 Windows Server 2012 及以上服務器操作系統：
     a>  打開“服務器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。

b> 在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復選框，然后單擊“確定”以關閉此窗口。

c>  重啟系統。

3.2 對于運行 Windows 7、 Windows Server 2008 R2、 Windows Vista 和Windows Server 2008 的用戶：
     1> 在命令行界面打開并修改注冊表

2>  打開注冊表路徑︰
     HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

3> 新建項︰ SMB1，值 0（DWORD）

4> 重新啟動計算機

方式 4：安裝病毒免疫工具

可采用一些免疫工具進行自動化的補丁安裝和端口屏蔽

方式 5：建立滅活域名免疫機制

根據網絡安全團隊對已有樣本分析，勒索軟件存在觸發機制，如果可以成功訪問

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com（目前已監控到的wannacry變種木馬開關域名），則電腦在中了勒索病毒后不會進行文件加密而直接退出。目前該域名已被安全人員注冊，可以正常訪問。

企業用戶可以通過在內網搭建 Web Server，然后通過內網 DNS 的方式將域名解析到 Web Server IP 的方式來實現免疫；通過該域名的訪問情況也可以監控內網病毒感染的情況。

三、普通用戶電腦應急修復及安全防范指引

3.1 已感染主機應急修復指引

如存在上述類似紅色勒索界面，則說明主機已經感染蠕蟲病毒，您可以采取如下措施進行修復：

步驟 1： 及時止損并離線備份重要數據

a> 普通用戶可以以拔掉網線等方式隔離已遭受攻擊電腦，避免感染其他機器，對相關重要文件采用離線備份（即使用 U 盤等方式）等方式進行備份。

b> 部分電腦帶有系統還原功能，可以在未遭受攻擊之前設置系統還原點，這樣即使遭受攻擊之后可以還原系統，找回被加密的原文件，不過還原點時間到遭受攻擊期間的文件和設置將會丟失。

c> 同時，大部分安全軟件已經具有該勒索軟件的防護能力或者其他免疫能力等，可以安裝這些安全軟件，開啟實時防護，避免遭受攻擊。

d> 對于個人用戶，可以采用一些文件防護工具，進行文件的備份、防護。

步驟 2： 開展病毒清理

安裝安全軟件，利用殺軟的殺毒功能可直接查殺勒索軟件，同時進行掃描清理（已隔離的機器可以通過 U 盤等方式下載離線包安裝）。

步驟 3： 嘗試解密方案

嘗試方案1：打開勒索軟件界面，點擊 copy（復制黑客的比特幣地址）
     1>  把 copy 粘貼到 btc.com （區塊鏈查詢器）;
  2> 在區塊鏈查詢器中找到黑客收款地址的交易記錄，然后隨意選擇一個 txid（交易哈希值）;
     3> 把 txid 復制粘貼給 勒索軟件界面按鈕 connect us；
     4> 等黑客看到后，再點擊勒索軟件上的 check payment；
     5> 再點擊 decrypt 解密文件即可;

嘗試方案 2：嘗試開源的腳本(需 python3 環境)來運行嘗試恢復

下載鏈接：

https://github.com/QuantumLiu/antiBTCHack

嘗試方案 3：嘗試使用第三方數據恢復工具恢復已被蠕蟲病毒刪除的文件
     如 easyrecovery 等工具可幫助用戶恢復部分已經刪除的數據，但可能無法恢復加密數據。

如以上方式均無效，建議您重新安裝系統。

3.2 未感染主機安全防范指引

如暫未出現類似被勒索紅色彈框，建議及時進行自查和加固，避免被感染，
        您可以采取如下措施進行：

方式 1：利用 Windows 防火墻添加規則屏蔽端口

點擊開始菜單-打開控制面板-選擇 Windows 防火墻

如果防火墻沒有開啟，點擊"啟動或關閉 Windows 防火墻"啟用防火墻后點擊" 確定

點擊"高級設置"，然后左側點擊"入站規則"，再點擊右側" 新建規則"

在"特定本地端口"處填入 445 并點擊"下一步"，選擇"阻止連接"，然后一直下一步，并給規則隨意命名后點擊完成即可。

注：不同系統可能有些差異，不過操作類似

方式 2：利用 Windows Update 進行系統更新

利用 Windows 系統自帶的 Windows Update 進行系統更新，更新到最新即可。

如確認已安裝 5 月份 KB4012264 補丁，則說明系統默認不受此次蠕蟲病毒影響，確認方法可參考：
     Windows 7 : KB4012215 或 KB4015549 或 KB4019264；
     Windows 8.1：KB4012216 或 KB4015550 或 KB4019215；
     Windows 10 去 Windows 更新即可；
     Windows 8 暫無更新補丁，需升級至 Windows 8.1
     Windows 8.1 64 補丁鏈接：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
     Windows 8.1 32 補丁鏈接：
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
     Windows 7 64 補丁鏈接：
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
     Windows 7 32 補丁鏈接：
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/

普通用戶在可以聯網狀態下，保證對該網址的可訪問，則可以避免在遭受攻擊后避免被加密（僅限于已知勒索病毒）。