“永恒之蓝”(Wannacry)蠕虫全球肆虐安装补丁的方法

2024.05.05

    背景
    5月12日晚，一款名为Wannacry的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。该软件被认为是一种蠕虫变种（也被称为“wannacryptor”或“wcry”）。像其他勒索软件的变种一样，一旦电脑感染了Wannacry病毒，受害者要高达300美元比特币的勒索金才可解锁。否则，电脑就无法使用，且文件会被一直封锁。研究人员还发现了大规模恶意电子邮件传播，以每小时500封邮件的速度传播杰夫勒索软件，攻击世界各地的计算机。
    “永恒之蓝”利用0day漏洞，通过445端口(文件共享)在内网进行蠕虫式感染传播，没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染，所以目前感染用户主要集中在企业、高校等内网环境下。感染该蠕虫病毒变种，系统重要资料文件就会被加密，并勒索高额的比特币赎金，折合人民币2000-50000元不等。

    445端口：
    查看445端口是否开放，根据端口开启情况决定是否关停server服务。
    查看445端口开启的方法：
    步骤1：单击“开始”->“运行”，输入“cmd”
    步骤2：在cmd命令窗口中输入“netstat -an ”，查看445端口状态。如果445端口处于“listening”，则执行“net stop server”暂时关停server服务。

    解决方案
    方法1：
    从微软官网下载MS17-010补丁修复此缺陷，一劳永逸。补丁下载地址：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    方法2：
    开启Windows系统防火墙，屏蔽445端口。
    下文以Windows7系统为例，操作步骤如下：
    步骤1：打开"控制面板"，单击"Windows"防火墙

步骤2：在弹出的对话框中单击"高级设置"。

步骤3：在"高级安全 Windows 防火墙"界面中，分别单击"入站规则"->"新建规则..."。

步骤4：在"新建入站规则向导"中配置"协议和端口 "。其中协议类型选择TCP，适用端口设置为445，单击"下一步"。

步骤5：在"新建入站规则向导"中配置 "操作"，选择"阻止连接"后单击"下一步"。

步骤6：在"新建入站规则向导"中配置 "配置文件"，勾选所有选项后单击"下一步"。

    步骤7：在"新建入站规
    则向导"中配置"名称"，输入新建规则的名称后单击"完成"，即配置完毕。

    方法3：关闭 SMBv1 服务
    3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户
    对于客户端操作系统：
    打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。
    在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。
    重启系统。
    3.2 对于服务器操作系统：
    打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。
    在“功能”窗口中，清除“SMB 1.0/CIFS
    文件共享支持”复选框，然后单击“确定”以关闭此窗口。
    重启系统。
    3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注册表
    注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
    新建项︰ SMB1，值0（DWORD）
    重新启动计算机
    关于影响的操作系统范围和对应的补丁号码详情请见：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx