【要闻】“永恒之蓝”14日最新态势：教育科研成重灾区

本篇文章1937字，读完约5分钟

【pconline情报】5月14日上午，360家威胁情报中心发表了wannacrypt (永远的蓝色)恐吓蠕虫的最新态势，到5月13日20点，国内也感染了29372家机构组织的数十万台机器，其中教育科学研究机构433

据360个威胁信息中心的统计，仅一天多内，wannacrypt (永远的蓝色)就威胁蠕虫攻击了近100个国家的10多万家企业和公共组织。 其中包括1600多家美国组织、11200家俄罗斯组织。

国内感染的组织和机构已经覆盖了大部分地区，影响范围遍及大学、车站、自助终端、邮政、加油站、医院、政府办公终端等多个行业，感染的计算机数字还在增加。

从领域分布来看，教育科研机构已成为最大的灾区。 4316个教育机构ip被发现感染了永远的蓝威胁蠕虫，占14.7%； 其次是生活服务类机构，3302家，占11.2%； 商业中心(写字楼、写字楼、购物中心等)为3014个，占10.3%；交通运输为2686个，占9.1%。 我们还发现，1053个政府、办事处、社会团体、706个医疗卫生机构、422个公司和85个宗教设施的ip感染了永远的蓝色恐吓蠕虫。

在受影响地区，江苏、浙江、广东、江西、上海、山东、北京、广西名列前八。

wannacrypt (永远的蓝)恐吓蠕虫是从5月12日开始在世界上突然爆发的恐吓蠕虫攻击，导致英国医疗系统、快递企业fedex、俄罗斯内政部、俄罗斯电信企业megafon、西班牙电信沦陷。 wannacrypt (永恒的蓝色)利用了威胁蠕虫泄露的nsa互联网兵库永恒的蓝色攻击程序，这是nsa互联网武器私有化的世界第一个例子。 一个月前，shadow brokers组织发布了第四个nsa相关的互联网攻击工具和文档，包括与多个windows系统服务( smb、rdp、iis )相关的远程命令执行工具。 这包括“永远的蓝色”攻击程序。

考虑到wannacrypt (永远的蓝)恐吓蠕虫的影响表现出严重的状况，360家公司的安全向国内大型机构发布了永远的蓝恐吓蠕虫紧急处理手册，使国内大型机构能够防止永远的蓝恐吓蠕虫。 ( zt.360/1101061855.php？ dtid=1101062514 did=490458355 )建议国内各大机构采取以下紧急措施。

1、确认影响范围

？ 可能受到影响的系统确认

扫描intranet，找到开放所有445 smb服务端口的终端和服务器，检查win7或更高版本的系统是否安装了ms17-010补丁，如果未安装，将受到威胁。 win7或更低版本的windows xp/2003当前没有修补程序。 只要打开中小企业服务就受影响。

？ 发现感染蠕虫的系统

感染机器的画面上显示通知支付赎金的以下界面。

360家安全天眼系统已经更新了检测规则，自动更新规则后，发生感染的系统会发出警告。

2、应急处理方法

在互联网层面，现在利用漏洞进行攻击传达的蠕虫开始泛滥，360家公司的安全强烈建议互联网管理者在互联网边界的防火墙上切断445端口的访问。 如果边界上有ips和360天的堤坝智能防火墙等设备，请更新设备检测规则，直到确认网络中的计算机上安装了ms17-010补丁或server服务已关闭为止

在终端级别，如果发现445端口是开放的，则需要关闭server服务。

360家安全天引擎团队开发了免疫工具，与wannacry恐吓蠕虫相比。 该程序在计算机上运行后，防止现有蠕虫感染系统。 (免疫工具下载地址: b.360/other/onionwormimmune )

360家安全的新一代智能防火墙( nsg3000/5000/7000/9000系列)和新一代极速防火墙( nsg3500/5500/7500/9500系列)产品系列， 强烈建议通过更新ips特征库和应用程序识别特征库来完成蠕虫变种的防护和识别，让客户尽快识别ips特征库和应用程序。

感染蠕虫的设备建议隔离处理。

3、根治性的做法

在win7或更高版本的操作系统中，微软现在发布了修补程序ms17-010，以修复“永远的蓝色”攻击系统的漏洞。 请现在就在电脑上安装修补程序。

对于windows xp、2003等微软不再按计划提供安全更新的机器，与这次影响较大的互联网攻击相比，微软特别提供补丁。
catalog.update.Microsoft/search.ASPX？ q=kb4012598

根据最大限度地减少权限的安全实践，客户建议关闭非必需的server服务。 关于操作方法，请参阅应急处理部分。

四、恢复阶段

建议与重要的业务系统相比立即进行数据备份，与重要的业务终端进行系统镜像，制作充分的系统恢复磁盘或设备进行更换。