什么是永恒蓝病毒 如何防范永恒蓝软件

什么是永恒的蓝色病毒？如何防止永恒的蓝色勒索？2017年5月12日晚20: 00左右，全球爆发了一场大规模的蠕虫勒索软件入侵。短短几个小时内，病毒先后袭击了英国、美国、俄罗斯、中国、德国、意大利等多个国家，目前攻击仍在蔓延。据了解，只要电脑开机并能上网，就有可能被入侵，被入侵的用户需要支付高额赎金(或比特币)才能解密文件。目前，攻击已经导致许多教学系统和医院系统瘫痪。

　　什么是永恒之蓝病毒？

据了解，此次事件是犯罪分子通过修改此前泄露的NSA黑客武库中的“永恒蓝”攻击程序发起的网络攻击。

这个“永恒蓝”勒索蠕虫是世界上第一个民用NSA网络武器的案例。一个月前，Shadow Brokers发布了第四批与NSA相关的网络攻击工具和文档，包括涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，包括“永恒蓝”攻击程序。

恶意代码会以开放的445文件共享端口扫描Windows机器，犯罪分子无需任何用户操作就可以在计算机和服务器中植入ransomware、远程控制木马、虚拟货币挖矿机等恶意程序。

目前“永恒蓝”传播的ransomware主要由洋葱和WNCRY两大家族组成。受害机器的磁盘文件会被改成相应的后缀，图片、文档、视频、压缩包等各种数据无法正常打开。只有交赎金才能解密找回。这两类勒索病毒的勒索金额分别为5比特币和300美元，分别折合人民币5万元和2000元。

安全专家还发现，ONION ransomware还会与矿机(计算生成虚拟货币)和远程控制木马一起传播，形成收集挖矿、远程控制、勒索等恶意行为的木马病毒“大包裹”。它专门选择高性能服务器进行挖矿牟利，为普通电脑加密文件勒索钱财，从而最大化受害机器的经济价值。

据360企业安全5月13日上午提供的公告显示，由于国内多次爆发通过445端口传播的蠕虫，部分运营商在骨干网上封禁了445端口，但教育网和大量企业内网没有此限制，没有及时安装补丁，仍有大量计算机暴露445端口存在漏洞，导致目前蠕虫泛滥。

因此，该安全事件被许多安全机构评为“严重”。

　　如何防范永恒之蓝勒索病毒？

边肖了解到，中国首先出现的是洋葱病毒，平均每小时攻击约200次，夜间达到每小时1000次以上；WNCRY ransomware是5月12日下午发生的一次新的全球攻击，在中国校园网迅速传播，在夜间高峰时段每小时攻击约4000次。

　　目前大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响：

扫描内部网，找到所有具有开放的445个中小型企业服务端口的终端和服务器。确认Win7及以上系统是否安装了MS07-010补丁。如果没有安装，就会受到威胁的影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就会受到影响。

　　个人可自行判定电脑是否打开了445端口。

然而，目前未关闭的445个港口中，90%集中在中国台湾省和中国香港。大陆虽然占比小，但基数很大。虽然运营商在2008年受到类似蠕虫攻击后，关闭了大部分端口445，但很多相对独立的网络，如教育网、大型企业内部网，并没有自动关闭端口445，影响很大。

袭击已经蔓延到全球数百个国家和地区，这种大规模的敲诈勒索袭击非常罕见。今天早上5、6点左右，很多保安公司已经做了紧急处理，发布了紧急通知。

最恐怖的是，对于加载了Win7及以上操作系统的电脑，微软发布了补丁MS17-010，修复了“永恒蓝”攻击的系统漏洞，可以立即安装。王烈钧表示，个人电脑或许可以自己学习和加载，但对于大型组织来说，面对数百台机器，必须使用集中管理的客户端，尤其是如果大型组织和管理机构之前没有采取好的安全防护措施，处理起来非常困难。

如前所述，有两个勒索家庭。王烈钧认为，这种勒索虫有很多变种。

犯罪分子在修改了之前发布的“永恒之蓝”攻击程序后进行了攻击。根据王烈钧的分析，可以理解为NSA攻击工具的内核并没有改变，只是犯罪分子改变了它的“携带内核”，增加了一系列勒索攻击的动员工具。既然NSA攻击工具可以公开下载，不排除很多不法分子可以修改工具发起勒索攻击。

　　应急处理办法以下为360企业安全提供给的一份处理办法建议：

目前，利用漏洞传播攻击的蠕虫开始在网络层面扩散。强烈建议网络管理员在网络边界阻止防火墙上端口445的访问。如果边界有IPS、360新一代智能防火墙等设备，请将设备的检测规则升级到最新版本，并设置相应的漏洞攻击阻断，直到确认网络中的计算机已安装MS07-010补丁或关闭Server服务。

在终端级别暂时关闭服务器服务。

　　检查系统是否开启Server服务：

1.打开开始按钮，单击运行，输入cmd，然后单击确定。

2.输入命令：netstat-一个回车；

3.检查结果中是否还有端口445。

　　如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：

1.单击开始按钮，在搜索框中输入cmd，右键单击菜单上的cmd图标，选择以管理员身份运行，在cmd窗口中执行“net stop server”命令。对话如下。

2.感染处理建议隔离和处理已经感染勒索蠕虫的机器。

激进的处理针对Win7及以上的操作系统，微软发布了补丁MS17-010，修复“永恒蓝”攻击的系统漏洞。请立即在您的计算机上安装此修补程序。对于基于权限最小化的安全实践，建议用户关闭不需要使用的服务器服务。操作方法见应急响应方法。

对于Windows XP、2003等微软不再提供安全更新的机器，建议使用360“NSA阿森纳免疫工具”检测系统是否存在漏洞，并关闭受漏洞影响的端口，避免被ransomware蠕虫攻击。建议这些旧的操作系统机器加入淘汰更换队列，尽快升级。

在恢复阶段，建议对重要业务系统立即备份数据，对重要业务终端镜像系统，并制作足够的系统恢复盘或设备进行替换。