尊敬的客户您好,
5月12日20时,全球爆发大规模的勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。

一、漏洞情况分析:
2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。此蠕虫目前在没有对445端口进行严格访问控制的教育网内大量传播,受感染系统被勒索巨额金钱。该由NSA泄露工具所引发的蠕虫攻击事件已经造成非常严重的现实危害,与教育网类似的大规模的企业内网也已经面临此类威胁。

二、影响范围:
企业内网、IDC、教育网络等所有开放445 SMB服务端口且没有及时安装安全补丁的客户端和服务器系统都将面临此威胁。 部分越狱的iphone和安卓系统也遭受到危险。

尊敬的客户您好,4月14日境外黑客组织Shadow Brokers爆出微软高危方程式漏洞,攻击者可以利用工具对通过135、137、139、445、3389端口获取Windows系统的操作权限,为保证您的数据及业务安全,我们强烈建议您进行安全整改,以保证您的服务器安全。

一、天翼云受影响操作系统

Windows 2003、Windows 2008、Windows 2012

二、官方方案(推荐)
    微软官方公告连接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
    由于微软已停止更新Windows 2003系统,我们强烈建议您将系统更换为Windows 2008,针对Windows 2008系统,需要安装如下两个补丁,其中KB3011780补丁部分资源池系统已集成,若安装时提示已安装可不再进行安装。
三、其他方案
1、通过ACL/安全组策略限制公网上的访问权限,具体规则如下:
      1)北京、内蒙2、上海3、广州2、广州专享、广州3、成都2、长沙、西安、南京、厦门1和厦门2节点的用户,可通过配置VPC的ACL规则封堵公网端口,具体配置方法如下:
      2)贵州、福州、深圳、广州4、杭州节点的用户,可通过配置安全组规则封堵主机的端口,具体配置方法如下:
2、在系统内进行加固
      1)禁止Windows共享:卸载网络客户端和网络的文件和打印机共享(目的是禁用445端口),重启后生效,操作前请对自身业务进行评估

      2)禁止netbios(目的是禁用137和139端口):具体操作如下图所示

      3)关闭远程智能卡(目的是限制3389端口):
       在运行中输入gpedit.msc进入到本地组策略编辑器,然后点击计算机配置–>管理模板–>Windows组件–>智能卡,禁用下图配

电脑勒索病毒WannaCry的防范