5月12日晚， 全球爆發感染性勒索病毒，導致重要文件被加密，無法打開，類似下圖所示👮🏿‍♀️。此類勒索病毒傳播擴散利用了基於windows操作系統445端口的SMB漏洞，受影響的機器包括未更新系統補丁的所有windows操作系統。信息中心第一時間采取防控措施💅，防範該病毒侵入校園網。並向全校教職員工推送預防策略及相關補丁軟件⚱️🖐。信息中心在此也特別提醒廣大師生提高安全意識，加強防範，以免引起不必要的損失。   

   經過初步調查🆎，此類勒索病毒傳播擴散利用了基於445端口的SMB漏洞，上海部分高校感染臺數較多，大量重要信息被加密，只有支付高額的比特幣贖金才能解密恢復文件，損失嚴重。此次遠程利用代碼和4月14日黑客組織Shadow Brokers（影子經紀人）公布的Equation Group（方程式組織）使用黑客工具包有關🌥。其中的ETERNALBLUE模塊是SMB漏洞利用程序，可以攻擊開放了445端口的Windows機器🫙，實現遠程命令執行。微軟在今年3月份發布的MS17-010補丁，修復了ETERNALBLUE所利用的SMB漏洞👲🏼🅱️。目前基於ETERNALBLUE的多種攻擊代碼已經在互聯網上廣泛流傳👩‍❤️‍👨，除了捆綁勒索病毒，還發現有植入遠程控製木馬等其他多種遠程利用方式✍🏽。         

   根據360公司的統計，目前國內平均每天有不低於5000臺機器遭到基於ETERNALBLUE的遠程攻擊，並且攻擊規模還有進一步擴大趨勢。        

此次利用的SMB漏洞影響以下未自動更新的操作系統♋️：        

   Windows XP／Windows 2000／Windows 2003        

   Windows Vista／Windows Server 2008／Windows Server 2008 R2         

   Windows 7／Windows 8／Windows 10        

   Windows Server 2012／Windows Server 2012 R2／Windows Server 2016        

【個人預防措施】        

1、電腦重要數據文件請立即做一次備份🧔🏿‍♀️，到移動存儲介質、網盤或其他計算機，並定期做備份操作🌯。            

2、建議廣大師生將操作系統升級到Windows的最新版本，並自動更新所有補丁🐸，停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。        

3、如確因故暫時不能升級操作系統，請立即啟用並打開“Windows防火墻”，進入“高級設置”👴🏼♿，在入站規則裏禁用“文件和打印機共享”相關規則⬛️。強烈建議盡快升級操作系統。        

【局域網/網站/服務器管理員緩解措施】         

在路由交換設備/防火墻等控製端禁止外網對校園網135/137/139/445端口的連接。         

參考鏈接：
http://sec.edu-info.edu.cn/359
https://technet.microsoft.com/zh-cn/library/security/MS17-010
https://github.com/x0rz/EQGRP_Lost_in_Translation/

【重要】針對各版本windows系統的升級包及360修復防護軟件下載地址：

http://b.360.cn/other/onionwormfix
【重要】windows各版本的相關補丁包下載地址

https://technet.microsoft.com/zh-cn/library/security/MS17-010

網絡信息中心           

2017/5/14