紧急预警 | “永恒之蓝”勒索病毒爆发，安恒APT产品可检测

近日，安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件：大量服务器和个人PC感染病毒后被远程控制，成为不法分子的比特币挖矿机（挖矿会耗费大量计算资源，导致机器性能降低），甚至被安装勒索软件，磁盘文件会被病毒加密为.onion或者.WNCRY后缀，用户只有支付高额赎金后才能解密恢复文件，对个人文件造成严重损失。

被感染了勒索软件的电脑

“永恒之蓝”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出，导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器，只要用户开机上网，黑客就可能在电脑和服务器中植入勒索软件。

之前国内曾多次爆发利用445端口传播的蠕虫，运营商对个人用户封掉此端口；但国内特定行业的网络无此限制，存在大量暴露445端口的机器，因此也成为了此次感染事件的重灾区，已经有大量该行业网络的用户报告个人PC被安装了勒索软件。此外，根据国外媒体的报道，目前英国、美国、俄罗斯、西班牙、意大利、越南、中国台湾等国家和地区也出现了被感染的情况。

安恒信息提醒广大Windows系统用户：

• 目前微软已发布补丁MS17-010修复了“永恒之蓝”工具所利用的系统漏洞，请尽快为电脑安装此补丁。补丁下载链接：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

请注意微软只会为仍在服务期内的版本发布补丁，对于较早的已不在服务期内的版本（Windows 7之前版本，Windows Server 2008之前版本），微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本，建议用户部署基本的防火墙，禁止电脑直接使用公网IP。

• 在Windows系统上关闭不必要开放的端口，如445、135、137、138、139等，并关闭网络共享。
• 定期备份重要文件数据。

自从北京时间 2017 年 4 月 14 日黑客团体Shadow Brokers（影子经纪人）泄露了大量 NSA黑客工具后，安恒信息一直持续关注。

“

明御APT攻击（网络战）预警平台早在4月份就已经支持通过解析SMB协议分析出恶意的攻击数据包，并检测到MS17-010远程溢出漏洞的利用攻击。

”

目前安恒信息的明御APT攻击（网络战）预警平台已经支持对“永恒之蓝”勒索病毒的检测。建议APT产品用户升级到V2.0.29或之后版本，同时开启云端，在线实时更新安全策略。

请APT产品用户关注MS17-010的 “SMB远程溢出攻击” 和 “SMB远程溢出攻击成功”的 两个告警，尤其是“SMB远程溢出攻击成功”的告警。如果出现了此告警，表示用户系统已经被入侵，很可能被黑客远程控制。

目前尚无完善的措施解决勒索软件，如果用户确认已经被感染了勒索软件，建议全盘格式化硬盘后重装系统，重装系统时隔离外网避免再次感染，同时安装所有可用的补丁。 早在4月份影子经纪人曝光NSA黑客武器库事件之初，安恒信息就已经就其中相关的SMB协议漏洞利用情况做过全国范围的统计，并向国家相关职能部门提供了统计报告：