5月12日晚间  勒索蠕虫突然在全球爆发。

根据360威胁情报中心的统计，在短短一天多的时间，WannaCrypt（永恒之蓝）勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织，其中包括1600家美国组织，11200家俄罗斯组织，包括英国医疗系统、快递公司FedEx、俄罗斯内政部、俄罗斯电信公司Megafon、西班牙电信都被攻陷。

截止5月14日20点，国内有超过29372家机构组织的数十万台机器感染，其中教育科研机构有4341家中招，是此次事件的重灾区。国内被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，被感染的电脑数字还在不断增长中。

      目前，尚未有黑客组织认领这次袭击。但业界人士的共识是，这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具。几个私立网络安全公司的研究人员表示，黑客通过利用名为“永恒之蓝(Eternal Blue)”的NSA代码，导致软件能够自我传播。

　卡巴斯基则强调，这次网络攻击所用的黑客工具“永恒之蓝”，来源于美国国家安全局的网络武器库。今年4月，黑客组织“影子经纪人”在网上披露一批美国国安局的黑客工具，其中就包括这个漏洞工具。

　　       美国国土安全部12日发表声明称，已获悉上述勒索软件影响全球多个实体。但是，声明除介绍勒索软件的定义、微软已针对这个漏洞发布补丁、提醒用户应安装补丁外，没有说明更多情况。

　　今年3月，“维基揭秘”网站披露了一批据称是来自美国中情局的黑客工具，批评中情局对其黑客武器库已经失控，其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”，存在“极大的扩散风险”。

鉴于WannaCrypt（永恒之蓝）勒索蠕虫影响呈现严重态势，360建议国内各大型机构采取以下紧急处置措施：

1.确认影响范围潜在受影响系统确认

扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS17-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。

被感染的机器屏幕会显示如下的告知付赎金的界面

2.应急处置方法

在网络层面，目前利用漏洞进行攻击传播的蠕虫开始泛滥，360企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。在终端层面，如果发现445端口开放，需要关闭Server服务。

3.根治方法

对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。对于Windows XP、2003等微软按计划已不再提供安全更新的机器，针对本次影响巨大的网络攻击事件，微软特别提供了补丁，请到如下网址下载安装：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务，操作方法见应急处置方法。

4.恢复阶段

建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。

值得一提的是，由上海社科院互联网研究中心知名互联网学者李易与上海市反电信网络诈骗中心韦健主编、资深信息化专家陆晋军、资深通信业专家王元杰、资深网络技术专家范新进联合编著的《反电信网络诈骗全民指南》中，在第十章第十三小节（10.13），专门讲解了网络黑客解锁费诈骗。

在517世界电信日即将到来之际，勒索蠕虫病毒的全球爆发，再次提醒我们，反电信网络诈骗任重而道远！

关注我社微信公众号并留言分享您的反诈经验，我们将抽取20名幸运读者，赠送《反电信网络诈骗全民指南》图书一本。