我中心从高教信息化分会网络安全工作组、国内安全服务厂商等渠道获知，近期国内外爆发了基于Windows平台的勒索病毒感染事件，主机内重要文件被加密，并显示类似下图所示的勒索界面：

经初步调查，此类勒索病毒是利用基于445端口传播的Windows系统SMB服务（即通常所说的文件和打印机共享服务）漏洞进行感染。被勒索病毒感染后，主机内大量重要文件（如Word、Excel等）被加密，由于加密强度高解密难度大，只能通过支付高额的比特币赎金才能解密恢复文件，对被感染主机威胁严重。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序，可以攻击开放445端口的 Windows主机，实现远程命令执行。微软在今年3月份发布的S17-010补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。

此次利用的SMB漏洞影响以下未自动更新的操作系统：
Windows XP／Windows 2000／Windows 2003
Windows Vista／Windows Server 2008／Windows Server 2008 R2
Windows 7／Windows 8／Windows 10
Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

我中心在做好校园网络层面可实施的各项安全防护措施的基础上，建议全校师生员工加强安全防护措施，降低被网络勒索病毒感染风险。具体个人主机防护措施建议如下：

1、升级操作系统补丁到最新（推荐）：
1.1、通过Windows官方渠道、主要安全厂商安全客户端等，将Windows主机系统更新升级到最新状态；
1.2、安装可信安全厂商安全防护软件，Windows系统设置补丁自动升级；
1.3、保持良好的网络使用习惯（不随意打开不明来源的Office文档、可执行文件；使用Chrome、Firefox等安全防护功能较好的浏览器；不打开来源不明的网络连接；不下载和安装来源不明的主机应用和移动应用）。

2、临时设置防火墙和取消文件共享设置（不推荐，临时缓解）：

若不具备将Windows补丁升级到最新的条件，建议启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。

另外，对于有大量重要文档信息的主机，请经常进行重要文件备份，并将备份介质离线保存（也就是将备份的硬盘断开与主机的USB等连接来存放）；停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统，及时升级操作系统补丁到最新。

官方补丁下载链接：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

信息与现代教育技术中心

2017年5月13日