一、勒索软件情况

综合CNCERT和国内网络安全企业（奇虎360公司、安天公司等）已获知的样本情况和分析结果，该勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。4月16日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警:

有可能通过445端口发起攻击的漏洞攻击工具

工具名称 主要用途

ETERNALROMANCE  SMB 和NBT漏洞，对应MS17-010漏洞，针对139和445端口发起攻击，影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD  SMB和NETBIOS漏洞，对应MS10-061漏洞，针对139和445端口，影响范围：Windows XP、Windows 2003

EDUCATEDSCHOLAR SMB服务漏洞，对应MS09-050漏洞，针对445端口

ERRATICGOPHER SMBv1服务漏洞，针对445端口，影响范围：Windows XP、 Windows server 2003，不影响windows Vista及之后的操作系统

ETERNALBLUE SMBv1、SMBv2漏洞，对应MS17-010，针对445端口,影响范围：较广，从WindowsXP到Windows 2012

ETERNALSYNERGY SMBv3漏洞，对应MS17-010，针对445端口，影响范围：Windows8、

Server2012

ETERNALCHAMPION SMB v2漏洞，针对445端口

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

二、应急处置措施

建议广大用户及时更新Windows已发布的安全补丁更新，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：

（一）关闭445等端口(其他关联端口如: 135、137、138、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口(参见附件1)；

（二）加强对445等端口（其他关联端口如: 135、137、138、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；

（三）及时更新操作系统补丁；

（四）安装杀毒软件并及时更新到最新版本；

（五）不要轻易打开来源不明的电子邮件；

（六）定期在不同的存储介质上备份信息系统业务和个人数据。

附工具：
1、Windows系列补丁链接：http://pan.baidu.com/s/1kVLrVJD
2、免疫工具和清除工具：http://pan.baidu.com/s/1sl8UyHv

备注：

（1）清除工具可以对已经感染的主机进行勒索软件的清除，但无法恢复已经被加密的文件。

（2）免疫工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等多种方式对蠕虫勒索软件WannaCry感染传播途径进行有效阻断，实现主机免疫功能。

三、服务电话

24小时服务电话：13916831235（小向） 718758（公安短号）

余小丽 15800701516

江丽 13482782985

技术服务电话：

金国光：15355370221

金继华：13621908274

服务监督电话：

杜卫明15801806067

四、我们将持续关注

万宗网络科技（上海）有限公司

2017年5月13日