一、事件背景

5月12晚間，名為”wannacry”（永恒之藍）的勒索病毒全球爆發，不法分子利用 NSA 黑客武器庫泄漏的“永恒之藍”發起的掃描。“永恒之藍”會掃描網絡中的主機是否開啟了 445 端口，如果目標主機的445端口是開啟的，就可以向服務器發送特殊設計的消息，其中嚴重的的漏洞即允許遠程執行代碼。拿到遠程執行代碼后，黑客會對主機內的文件加密，然后彈出勒索頁面。

據一些資料顯示，由于中國過去出現過幾例利用 445 端口傳播的蠕蟲，所以運營商已經對主機或服務器封掉了 445 端口，但是教育網的445端口還是放開的，所以本次事件，教育網是受攻擊的重災區。同時，中國高校內，局域網傳文件應用廣泛，通常windows防火墻為關閉狀態，更是導致了中國高校受害嚴重。

二、終端處理建議

1、及時安裝補丁

微軟已發布補丁，修復了“永恒之藍”攻擊的系統漏洞，補丁編碼MS17-010，請盡快按照如下鏈接安裝https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、 關閉445端口與相關服務

打開控制面板中的Windows防火墻，并保證防火墻處于啟用狀態，打開防火墻的高級設置，在“入站規則”中新建一條規則，本地端口號選擇445，操作選擇阻止連接，同事建議關閉135、137、138、139

3、備份與升級

使用U盤、移動硬盤備份電腦中的文件，重要文件采用不可逆的加密算法進行加密。建議使用微軟較高版本的windows系統，并自動修復補丁，保持補丁版本的最新。

三、防火墻處理建議

1、禁止雙向135/137/139/445端口的連接建立。

2、更新病毒庫即開啟防病毒策略即可。銳捷病毒樣本庫已于5月12日上午9點更新。

3、更新IPS特征庫，確保關于windows全部漏洞代碼的特征，并開啟IPS策略。

4、阻斷已知的Wannary 勒索軟件C&C服務器。