各網(wǎng)絡(luò)用戶：

　　2017年5月12日20時左右，全球爆發(fā)大規(guī)模勒索軟件感染事件。據(jù)公安部通報，中國大批高校也出現(xiàn)感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復，情況嚴重（見附件1）。為控制病毒感染擴散，確保我校網(wǎng)絡(luò)不發(fā)生網(wǎng)絡(luò)安全事件，現(xiàn)緊急通知如下：

　　1、中心已在校園網(wǎng)邊界上設(shè)置了阻止該勒索病毒傳播的安全策略，但由于病毒的傳播方式有多種，不排除校內(nèi)主機會通過其他途徑感染該病毒。請全校師生提高安全防范意識，做好電腦中重要文件的離線備份（拷貝到U盤或移動硬盤等），安裝防病毒軟件并升級到最新的病毒庫。

　　2、Windows XP、Windows 2003、Windows 8、windows vista等微軟已經(jīng)不再提供技術(shù)支持（鑒于問題嚴重性微軟緊急發(fā)布了針對Windows XP、Windows Server 2003、Windows 8三款系統(tǒng)的修補補丁，編號：KB4012598）。建議各單位用戶盡快將操作系統(tǒng)升級到windows7以上版本，服務(wù)器系統(tǒng)升級到Windows 2012以上版本并為操作系統(tǒng)打齊補丁。

　　3、各網(wǎng)絡(luò)用戶請及時開啟計算機系統(tǒng)防火墻，以便啟到防護作用。

　　4、特別提醒：不要打開來源不明的電子郵件附件，尤其是帶有各種誘惑性語言和電子郵件附件；不要點擊安全狀態(tài)不明的網(wǎng)頁地址等。

　　為防范該病毒對各網(wǎng)絡(luò)計算機系統(tǒng)的感染和傳播，盡可能減少其危害和影響，中心整理出具體防范措施建議（見附件2）、針對敲詐病毒（WanaCrypt0r2.0）的解決方案（見附件3）、各操作系統(tǒng)版本補丁下載地址及360公司下載工具（免疫工具、專殺工具、文件恢復工具等）（見附件4），建議各單位用戶盡快下載安裝。

　　一旦出現(xiàn)類似事件第一時間反饋到中心，以便中心提供技術(shù)支持和幫助，聯(lián)系電話：65790463（潘老師、梁老師）

　　                                                                                                 現(xiàn)代教育技術(shù)中心

　　                                                                                                  2017年5月13日

      附件1：關(guān)于近日大量電腦感染勒索病毒的說明.doc

      附件2：關(guān)于勒索病毒中招的具體防范措施建議.doc

      附件3：針對敲詐病毒（WanaCrypt0r2.0）的解決方案.doc

      附件4：各操作系統(tǒng)版本補丁下載地址及360公司下載工具（免疫工具、專殺工具、文件恢復工具等）.doc

        附件1   關(guān)于近日大量電腦感染勒索病毒的說明

　　2017年5月12日起，全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件，用戶只要開機上網(wǎng)就可被攻擊。五個小時內(nèi)，影響覆蓋美國、俄羅斯、整個歐洲等100多個國家，國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復文件，對重要數(shù)據(jù)造成嚴重損失。

　　這次的“永恒之藍”勒索蠕蟲，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統(tǒng)服務(wù)（SMB、RDP、IIS）的遠程命令執(zhí)行工具，其中就包括“永恒之藍”攻擊程序。

　　漏洞描述

　　近期國內(nèi)多處高校網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)出現(xiàn)WannaCry勒索軟件感染情況，磁盤文件會被病毒加密，只有支付高額贖金才能解密恢復文件，對重要數(shù)據(jù)造成嚴重損失。

　　根據(jù)網(wǎng)絡(luò)安全機構(gòu)通報，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

　　由于以前國內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲，部分運營商在主干網(wǎng)絡(luò)上封禁了445端口，但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒有此限制而且并未及時安裝補丁，仍然存在大量暴露445端口且存在漏洞的電腦，導致目前蠕蟲的泛濫。

　　風險等級

　　360安全監(jiān)測與響應(yīng)中心對此事件的風險評級為：危急

　　影響范圍

　　掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放445 SMB服務(wù)端口的終端和服務(wù)器，對于Win7及以上版本的系統(tǒng)確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響。

       附件2     關(guān)于勒索病毒中招的具體防范措施建議

　　個人計算機用戶的預(yù)防措施：

　　1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統(tǒng)的用戶，請啟用系統(tǒng)自帶的更新功能將補丁版本升級到最新版本；

　　2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統(tǒng)用戶，建議升級操作系統(tǒng)到 Windows 7、Windows 2012及以上，如果因為特殊原因無法升級操作系統(tǒng)版本的，請手動下載XP和win2003補丁程序進行安裝，補丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

　　二、自建局域網(wǎng)預(yù)防措施：

　　在自建局域網(wǎng)的自有設(shè)備上阻斷TCP 135、137、139、445 端口的連接請求，將會有效防止該病毒的傳播，但是同時也阻斷了校內(nèi)外用戶正常訪問使用Windows系統(tǒng)相應(yīng)文件共享機制的信息系統(tǒng)和網(wǎng)絡(luò)服務(wù)。因此，必須謹慎使用下列預(yù)付措施：

　　1、在網(wǎng)絡(luò)邊界（如自建局域網(wǎng)出口）上阻斷 TCP 135、137、139、445 端口的連接請求。這個操作可有效阻斷病毒從外部傳入內(nèi)部網(wǎng)絡(luò)，但無法阻止病毒在內(nèi)部網(wǎng)絡(luò)傳播。

　　2、在自建局域網(wǎng)的核心交換設(shè)備處阻斷 TCP 135、137、139、445 端口的連接請求，該操作可阻斷病毒在自建局域網(wǎng)間進行傳播，但無法阻止病毒在自建局域網(wǎng)內(nèi)傳播。

　　3、在自建局域網(wǎng)子網(wǎng)邊界處阻斷 TCP 135、137、139、445 端口的連接請求，該操作可最大限度保護子網(wǎng)的安全，但是無法阻擋該病毒在同臺交換機下傳播。

　　綜上所述，自建局域網(wǎng)的自有設(shè)備上阻斷網(wǎng)絡(luò)的TCP 135、137、139、445 端口連接請求只是臨時措施，盡快完成各單位用戶Windows系統(tǒng)軟件的升級或修復漏洞才是防范該病毒的根本措施。

      附件3     針對敲詐病毒（WanaCrypt0r2.0）的解決方案

　　一、病毒背景

　　5月12日起，Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大范圍內(nèi)出現(xiàn)爆發(fā)態(tài)勢，中國大陸大量教育網(wǎng)用戶和企業(yè)用戶中招。

　　與以往不同的是，這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用，通過445端口(文件共享)在內(nèi)網(wǎng)進行蠕蟲式感染傳播。

　　微軟在今年3月10日已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞，請盡快安裝此安全補丁，網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。

　　沒有安裝安全軟件或及時更新系統(tǒng)補丁的其他內(nèi)網(wǎng)用戶極有可能被動感染，所以目前感染用戶主要集中在企業(yè)、高校等內(nèi)網(wǎng)環(huán)境下。

　　一旦感染該蠕蟲病毒變種，系統(tǒng)重要資料文件就會被加密，并勒索高額的比特幣贖金，折合人民幣2000-50000元不等。

　　從目前監(jiān)控到的情況來看，全網(wǎng)已經(jīng)有數(shù)萬用戶感染，QQ、微博等社交平臺上也是哀鴻遍野，后續(xù)威脅也不容小覷。

　　二、病毒感染現(xiàn)象

　　中毒系統(tǒng)中的文檔、圖片、壓縮包、影音等常見文件都會被病毒加密，然后向用戶勒索高額比特幣贖金。

　　WNCRY變種一般勒索價值300-600美金的比特幣，Onion變種甚至要求用戶支付3個比特幣，以目前的比特幣行情，折合人民幣在3萬左右。

　　此類病毒一般使用RSA等非對稱算法，沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內(nèi)付款，否則解密費用翻倍，并且一周內(nèi)未付款將刪除密鑰導致無法恢復。

　　從某種意義上來說，這種敲詐者病毒“可防不可解”，需要安全廠商和用戶共同加強安全防御措施和意識。

　　                                 中毒后的勒索提示

　　                                      部分系統(tǒng)桌面變化

　　三、針對未中病毒系統(tǒng)解決方案

　　1、為計算機安裝最新的安全補丁，微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞，請盡快安裝此補丁，請參考本文檔《安全補丁下載》章節(jié)內(nèi)容進行下載安裝。

　　2、開啟Windows防火墻。請參考《打開Windows 防火墻》章節(jié)進行Windows防火墻啟用。

　　3、針對暫時無法安裝補丁的Windows Server 2003以及Windows XP系統(tǒng)，可以通過關(guān)閉445端口（監(jiān)控其他關(guān)聯(lián)端口如： 135、137、139）來避免病毒侵害。

　?。?）快捷鍵WIN+R啟動運行窗口，輸入cmd并執(zhí)行，打開命令行操作窗口，輸入命令：netstat -an

　　*用于檢測445端口是否開啟

　　                         上圖為未關(guān)閉445端口

　?。?）如445端口開啟（如上圖），依次輸入以下命令進行關(guān)閉：

　　net stop rdr  / net stop srv / net stop netbt

　　功后的效果如下：

　　4、強化網(wǎng)絡(luò)安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開。 

　　5、盡快（今后定期）備份自己電腦中的重要文件資料到移動硬盤、U盤，備份完后脫機保存該磁盤。

　　6、建議仍在使用Windows XP，Windows Server 2003操作系統(tǒng)的用戶盡快升級到 Window 7/Windows 10，或 Windows 2008/2012/2016操作系統(tǒng)。

　　7、若是Windows 7、Windows 8/8.1、Windows 10（不包含LTSB）以上操作系統(tǒng)在啟用自動更新情況下對此病毒免疫。

　　8、安裝正版操作系統(tǒng)、Office軟件等。

　　四、針對已中病毒系統(tǒng)解決方案

　　在沒有解密密鑰情況下，中病毒計算機中的文件恢復的成本非常高昂、難度非常大。若確定計算機已經(jīng)中毒，應(yīng)將該計算機隔離或斷網(wǎng)(拔網(wǎng)線)，以免進行病毒擴散。若存在該計算機備份，則啟動備份恢復程序。若沒有重要文件，可通過對磁盤全盤進行格式化，重裝系統(tǒng)恢復使用。

　　 五、安全補丁下載

　　針對不同的系統(tǒng)所安裝的補丁不同，請嚴格按照系統(tǒng)版本下載相對應(yīng)的安全補丁對系統(tǒng)進行更新。

　　------------------------------------------------------------------------

　　以下系統(tǒng)版本：

　　Windows XP 32位/64位/嵌入式

　　Windows Vista 32/64位

　　Windows Server 2003 SP2 32位/64位

　　Windows 8 32位/64位

　　Windows Server 2008 32位/64位/安騰

　　對應(yīng)補丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　------------------------------------------------------------------------

　　以下系統(tǒng)版本：

　　Windows 7 32位/64位/嵌入式

　　Windows Server 2008 R2 32位/64位

　　對應(yīng)補丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

　　------------------------------------------------------------------------

　　以下系統(tǒng)版本：

　　Windows 8.1 32位/64位

　　Windows Server 2012 R2 32位/64位

　　對應(yīng)補丁下載地址：

　　http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

        附件4    各操作系統(tǒng)版本補丁下載地址及360公司下載工具（免疫工具、專殺工具、文件恢復工具等）

　　Win7 ms17-010官方補丁md5值及下載地址

　　win7 x64 

　　md5:d745f8983f0433be76e0d08b76113563 sha1:6bb04d3971bb58ae4bac44219e7169812914df3f

　　下載地址：

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　win7 x86 

　　md5:883a7d1dc0075116789ea5ff5c204afc sha1:2decefaa02e2058dcd965702509a992d8c4e92b3

　　下載地址：

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

　　win10 x64 補丁下載地址：

　　http://download.windowsupdate.com/c/msdownload/update/softw

　　are/secu/2017/03/windows10.0-kb4012606-

　　x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

　　win10 x86 補丁下載地址：

　　http://download.windowsupdate.com/c/msdownload/update/softw

　　are/secu/2017/03/windows10.0-kb4012606-

　　x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

　　XP和win2003官方補丁地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　其他補丁下載地址：

　　https://technet.microsoft.com/zh-cn/library/security/MS17-010

　　點擊公告里對應(yīng)的系統(tǒng)下載對應(yīng)補丁。

　　2003：

　　http://0kee.#/ms/2003/kb4012598-x64-custom-chs.exe

　　http://0kee.#/ms/2003/kb4012598-x64-custom-enu.exe

　　http://0kee.#/ms/2003/kb4012598-x86.exe

　　2008：

　　http://0kee.#/ms/2008/kb4012598-x64.msu

　　http://0kee.#/ms/2008/kb4012598-x86.msu

　　2008R2：

　　http://0kee.#/ms/2008R2/kb4012212-x64.msu

　　http://0kee.#/ms/2008R2/kb4012212-x86.msu

　　http://0kee.#/ms/2008R2/kb4012215-x64.msu

　　http://0kee.#/ms/2008R2/kb4012215-x86.msu

　　2012R2：

　　http://0kee.#/ms/2012R2/kb4012213-x64.msu

　　http://0kee.#/ms/2012R2/kb4012213-x86.msu

　　http://0kee.#/ms/2012R2/kb4012216-x64.msu

　　http://0kee.#/ms/2012R2/kb4012216-x86.msu

　　8.1：

　　http://0kee.#/ms/8.1/kb4012213-x64.msu

　　http://0kee.#/ms/8.1/kb4012213-x86.msu

　　http://0kee.#/ms/8.1/kb4012216-x64.msu

　　http://0kee.#/ms/8.1/kb4012216-x86.msu

　　vista：

　　http://0kee.#/ms/vista/kb4012598-x64.msu

　　http://0kee.#/ms/vista/kb4012598-x86.msu

　　win7：

　　http://0kee.#/ms/win7/kb4012212-x64.msu

　　http://0kee.#/ms/win7/kb4012212-x86.msu

　　http://0kee.#/ms/win7/kb4012215-x64.msu

　　http://0kee.#/ms/win7/kb4012215-x86.msu

　　xp：

　　http://0kee.#/ms/xp/sp2-kb4012598-custom-enu-x86.exe

　　http://0kee.#/ms/xp/sp3-embedded-kb4012598-custom-enu-x86.exe

　　http://0kee.#/ms/xp/sp3-kb4012598-custom-enu-x86.exe

　　win7 sp0-sp1升級包：

　　http://0kee.#/ms/win7/sp0-sp1-X64.exe

　　http://0kee.#/ms/win7/sp0-sp1-X86.exe

　　漏洞檢測工具：

　　http://0kee.#/ms/ms17010detect.exe

　　http://0kee.#/ms/ms17-10.py

　　http://0kee.#/ms/ms17-10_BSOD_shilei.exe   //藍屏

　　http://0kee.#/ms/ms17-010-bsod.py   //藍屏

　　免疫工具&處置指南：

　　http://0kee.#/ms/010.zip

　　360公司免疫工具下載鏈接：

　　http://b.#/other/onionwormimmune

　　360公司專殺工具下載鏈接：

　　http://b.#/other/onionwormkiller

　　360公司勒索蠕蟲病毒文件恢復工具下載鏈接：https://dl.360safe.com/recovery/RansomRecovery.exe