这次事件是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

这次的“永恒之蓝”勒索蠕虫，是 NSA 网络军火民用化的全球例。一个月前，第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布，包含了涉及多个 Windows 系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

 

恶意代码会扫描开放 445 文件共享端口的 Windows 机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

 

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为 5 万多元和 2000 多元。

安全专家还发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，更大化地压榨受害机器的经济价值。

 

 

目前 90 %未关闭的 445 端口集中在中国台湾和香港地区，大陆地区虽然占比很少，但基数很大。虽然，在2008年遭受类似的蠕虫攻击后，运营商已经封闭了大多数445端口，但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭 445端口，所以影响范围很大。

恐怖的一点在于，对装载Win7及以上版本的操作系统的电脑而言，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，可以立即电脑安装此补丁。

 

对个人电脑，可能可以自行学习及装载，但是对于大型组织机构而言，面对成百上千台机器，必须使用集中管理的客户端，尤其如果之

前没有做好安全防护措施的大型组织管理机构，处理起来十分棘手。

不法分子是将此前公布的“永恒之蓝”攻击程序改装后进行的攻击。该NSA攻击工具内核没变，但是不法分子改变了其“载核”，加上了勒索攻击的一系列调动工具，由于该NSA攻击工具可以被公开下载，不排除可有多个不法分子改装该工具发动勒索袭击。

 

 

一、网络层面

目前利用漏洞进行攻击传播的蠕虫开始泛滥，强烈建议网络管理员在网络边界的防火墙上阻断 445 端口的访问，如果边界上有 IPS 和 360 新一代智慧防火墙之类的设备，请升级设备的检测规则到新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。

二、终端层面

暂时关闭Server服务。检查系统是否开启Server服务：

1、打开 开始 按钮，点击 运行，输入cmd，点击确定

2、输入命令：netstat -an 回车

3、查看结果中是否还有445端口

阻断

如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：

点击 开始 按钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd图标，选择 以管理员身份运行 ，在出来的 cmd 窗口中执行 “net stop server”命令。

对于已经感染勒索蠕虫的机器建议隔离处置。

 

根治

对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务。

对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。

 

免疫工具下载地址：

http://dl.360safe.com/nsa/nsatool.exe 。

建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。

此外，已有安全厂商发布了预防处理类产品，可以自行搜索，安装使用。

 

 

达策作为一家专业为企业提供信息化解决方案的咨询服务公司（SAP 金牌合作伙伴），已在时间提高了企业安全服务等级，7*24小时不间断服务等一系列措施，我们宗旨是全心全意为客户服务。