2017年5月12日勒索病毒来袭，重要文件被加密。经过初步调查，此类勒索病毒传播扩散利用了基于445端口的SMB漏洞，感染机器大量重要信息被加密，损失严重。此次远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的EquationGroup（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器，实现远程命令执行。微软在今年3月份发布的MS17-010补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。

【处置建议】：

1.根据微软官方发布的声明称，上述表项中涉及的大部分漏洞已在微软目前支持更新的产品中修复，因此建议从微软官方进行系统升级，保持操作系统补丁的更新。

2.由于微软已经停止对Windows XP、Windows Vista、Windows Server 2000和Windows Server 2003等的安全更新，因此这些用户以及其他未及时升级最新补丁的用户可能具有极大的安全隐患，考虑到近期有可能出现的攻击威胁，建议做好以下措施：

（1）关闭135、137、139、445、3389等端口的网络访问，在办公用机和服务器上关闭上述服务端口，对于必须要开放的请联系网络与信息中心进行硬件防火墙限制，关闭方式为本地停用相关服务或者在本地系统“防火墙”上禁用相关端口；

（2）做好本单位Window XP、Windows Vista、Windows server 2000和Windows server 2003等主机的排查，使用替代操作系统，比如微软还在提供更新的Win7等操作系统，推荐使用学校正版化；

（3） IMAIL、IBM Lotus、MDaemon 等软件产品用户需要及时关注厂商安全更新，及时修复。

（4）由于本次Wannacry蠕虫事件的巨大影响，微软总部决定发布已停服的XP和部分服务器版特别补丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/，请组织对使用xp的终端进行升级。

【安全提示】：

（1）、做好个人重要数据备份。个人的科研数据、工作文档、照片等，根据其重要程度，定期备份到移动存储介质、知名网盘或其他计算机中。

（2）、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件，减少计算机被入侵的可能。

（3）、注意个人计算机安全维护。自动定期更新系统补丁，安装常用杀毒软件和安全软件，升级到最新病毒库，并打开其实时监控功能。

（4）、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的，在无法确认文档是安全的情况下，切勿盲目打开宏功能。

（5）、不要打开来历不明或可疑的电子邮件和附件。

如有我校师生发现类似问题，请第一时间联系我们，邮箱info@ouc.edu.cn，电话66782222。

网络与信息中心

2017年5月13日