近期爆出WanaCrypt0r 2.0、onion以及wallet等后綴的勒索加密事件，影響較大，對(duì)于企業(yè)的IT管理員和信息安全管理員，阿里云安全專家推薦您按照以下舉措進(jìn)行應(yīng)急響應(yīng)和處理： 
 
 

• 如果發(fā)現(xiàn)大面積wannacry蠕蟲加密數(shù)據(jù)并內(nèi)網(wǎng)傳播，請(qǐng)立即斷網(wǎng)；
• 如果發(fā)現(xiàn)部分主機(jī)疑似被植入了蠕蟲，但數(shù)據(jù)未被加密，強(qiáng)烈建議您使用云服務(wù)器提供的快照功能立即創(chuàng)建磁盤快照備份；
• 微軟已于2017年3月份修復(fù)了此次三個(gè)高危的零日漏洞，建議您立即安裝相關(guān)補(bǔ)?。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補(bǔ)?。?，下載鏈接點(diǎn)擊：https://technet.microsoft.com/zh-cn/library/security/MS17-010修復(fù)漏洞；
• 安裝防病毒軟件（如MSE）：https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc清理，并同時(shí)按照第一步打上補(bǔ)丁；
• WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對(duì)此次事件的特殊補(bǔ)丁：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/，因此建議您立即安裝相關(guān)補(bǔ)?。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補(bǔ)?。?，修復(fù)漏洞。
• 通過安全組策略增加訪問控制策略，關(guān)閉公網(wǎng)和內(nèi)網(wǎng)入方向的TCP137、139、445、3389端口(注意，關(guān)閉3389端口可能導(dǎo)致無(wú)法遠(yuǎn)程登錄服務(wù)器，建議您通過ECS的管理終端功能登錄管理服務(wù)器)；
• 使用以下命令關(guān)閉SMB服務(wù)：

       關(guān)閉SMB服務(wù)方案一 

關(guān)閉SMB服務(wù)方案二        
1.請(qǐng)?jiān)诳刂泼姘?程序>啟用或關(guān)閉windows功能>取消勾選SMB1.0/CIFS文件共享并重啟系統(tǒng)。 
2.打開控制面板>查看網(wǎng)絡(luò)狀態(tài)和任務(wù)>更改適配器設(shè)置>右鍵點(diǎn)擊正在使用的網(wǎng)卡后點(diǎn)擊屬性>取消勾選Microsoft網(wǎng)絡(luò)文件和打印機(jī)共享，重啟系統(tǒng)。




• 檢查【內(nèi)網(wǎng)】入方向是否存在0.0.0.0/0 允許策略，如果存在，建議您備份安全組設(shè)置后，盡快刪除0.0.0.0/0條目（注意:刪除此策略前，請(qǐng)您務(wù)必確認(rèn)內(nèi)網(wǎng)需要互訪的請(qǐng)求已經(jīng)單獨(dú)通過安全組策略放行。）
• 對(duì)于已經(jīng)被加密的機(jī)器目前尚無(wú)可靠的解密手段，若有備份，建議您重置系統(tǒng)后使用備份數(shù)據(jù)進(jìn)行恢復(fù)；
• 新創(chuàng)建的ECS已經(jīng)安裝了補(bǔ)丁，不受此事件影響，但依然建議您確認(rèn)高危端口是否對(duì)內(nèi)外網(wǎng)開放；如非必要，建議您參考第四步，關(guān)閉相關(guān)端口；

 
補(bǔ)丁下載：  
病毒針對(duì) Windwdos Server 2003 至 2008 R2 必須打補(bǔ)丁。目前 Windwdos Server 2012 R2 至 2016 還沒有出現(xiàn)影響情況，但最好還是打上補(bǔ)??！  
 
阿里云的 Windows Server 均為正版系統(tǒng)，生產(chǎn)環(huán)境
 
務(wù)必開啟自動(dòng)更新！  
 
務(wù)必開啟自動(dòng)更新！  
 
務(wù)必開啟自動(dòng)更新！  
 
 
安裝補(bǔ)丁不會(huì)導(dǎo)致系統(tǒng)變慢！ 也可以配合使用安全組禁止公網(wǎng)入、內(nèi)網(wǎng)入方向的135、137、139、445 等相關(guān)端口。 
 
 
Windows Server 2003 特別補(bǔ)丁 - KB4012598  
Security Update for Windows Server 2003 (KB4012598) 
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe  
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)  
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe  
 
 
Windows Server 2008 R2 SP1 補(bǔ)丁 - KB4012212、KB4012215  
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu  
 
 
March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu  
 
 
Windows Server 2012 R2 - 補(bǔ)丁 KB4012213、KB4012216  
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu  
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216) 
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu  
 
 
Windows Server  2016 - 補(bǔ)丁 KB4013429  
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu  
 
Q&A問答：  
1.對(duì)于 MS17-010，里面包含 2 個(gè)安全更新號(hào)碼 4012215 和 4012212，是都需要打還是只要打一 個(gè) 4012212 就可以呢? 
KB4012215 是 2017 年 3 月的安全質(zhì)量更新匯總，涵蓋了 KB4012212，因此兩者任選一個(gè)安裝，都能修復(fù)漏洞。 
 
2.安裝時(shí)提示此更新不適用于您的計(jì)算機(jī)，怎么辦? 
請(qǐng)確認(rèn)系統(tǒng)滿足了先決條件再安裝。例如 Windows Server 2008 R2, 必須在 Service Pack 1 安裝完成后，才能安裝這次涉及到的安全更新。 
 
3.如何判斷是否已經(jīng)安裝了正確的補(bǔ)丁? 
首先重啟系統(tǒng)。然后對(duì)于 Vista SP2/Server 2008 SP2 開始的系統(tǒng)，可以使用 PowerShell 命令 Get-hotfix 來(lái)確認(rèn)。 
即使安裝了 MS17-010 還有可能中招，如果中招了是否可以殺毒，還是必須重裝?此時(shí)系統(tǒng)還 會(huì)傳播勒索軟件嗎? 
 
4.如果是 2003 的能夠?qū)で笪④浀膸椭鷨? 
Windows Server 2003 Service Pack 2 已經(jīng)結(jié)束支持周期 2 年了。微軟針對(duì)這次事件，特地破例 發(fā)布 2003 SP2 的漏洞修復(fù)——安全更新。
 
5.是否會(huì)跨網(wǎng)段傳播? 
會(huì) 
 
6.SMB V1 如果停止了會(huì)有什么影響? 
SMB v1 是從 Windows Vista SP2/Windows Server 2008 SP2 開始引入的。如果停止掉， Vista/Server 2008 之前的系統(tǒng)(XP/Server 2003)就無(wú)法訪問共享。Computer Browser 服務(wù)也會(huì) 受到影響。如果系統(tǒng)上有較多應(yīng)用依存于 SMB v1 的話，這些應(yīng)用可能無(wú)法使用。 
 
7.感染了的話，付錢是否能解決問題，是否有其他隱患? 
您的資產(chǎn)的價(jià)值需要您來(lái)評(píng)估，最終由您決定是否值得付錢解決。 
如果要重新安裝系統(tǒng)，只格式化 C 盤就可以了還是需要全盤格式化? 如果沒有專業(yè)的事件分析，很難說是否需要所有磁盤格式化。 
 
8.目前看到傳播的速度多快?是否可能手工停止病毒進(jìn)程來(lái)防范? 
勒索軟件一般采用非對(duì)稱秘鑰加密算法加密秘鑰，然后用對(duì)稱秘鑰和這個(gè)秘鑰來(lái)快速把文件進(jìn) 行加密。加密文件并不僅僅局限于文本類型文件。整個(gè)加密的過程本身是比較快的。往往在人 們感知到時(shí)，已經(jīng)非常晚了。我們微軟的防病毒軟件可以檢測(cè)客戶端上進(jìn)程的行為，如果發(fā)現(xiàn) 類似勒索軟件的惡意行為，在沒有準(zhǔn)確病毒庫(kù)下也會(huì)攔截。雖然攔截速度和快，還是有可能不 幸您的部分重要文件已經(jīng)被加密。 
 
9.如果系統(tǒng)無(wú)法安裝補(bǔ)丁更新該怎么辦? 
WannaCrypt 病毒利用了 SMBv1 組件中的一個(gè)漏洞進(jìn)行攻擊。對(duì)于 Windows Vista/2008 以上版 
本的客戶端/服務(wù)器，可以關(guān)閉 SMBv1 的服務(wù)。
 
對(duì)于 Windows XP/2003 服務(wù)器，可以關(guān)閉 SMB 協(xié)議:  
設(shè)置以下注冊(cè)表鍵值后重啟系統(tǒng) 
Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters Name: SMBDeviceEnabled 
Type: DWORD (REG_DWORD) 
Data: 0 
需要重啟系統(tǒng) 
 
10.停止 SMBv1 會(huì)對(duì)系統(tǒng)造成哪些影響? 
SMB 協(xié)議是局域網(wǎng)內(nèi)常用的協(xié)議，這個(gè)協(xié)議的主要目的是提供不同系統(tǒng)之間的文件，打印機(jī)，串口及 其他設(shè)備的數(shù)據(jù)訪問共享通信。關(guān)閉 SMB 協(xié)議造成的最直接影響是失去文件共享，網(wǎng)絡(luò)打印等功能，同時(shí)某些利用 SMB 協(xié)議提供的通信功能也會(huì)受到影響，例如通過命名管道建立的通信也會(huì)受到 影響。 
SMBv1 服務(wù)是 Windows 2003/Windows XP 等舊系統(tǒng)進(jìn)行 SMB 通信的協(xié)議。Windows Vista/2008 以及更 高版本的操作系統(tǒng)可以使用 SMBv2 及以后版本的協(xié)議進(jìn)行通信。簡(jiǎn)單地說，在 Windows Vista/2008 以 及更高版本的操作系統(tǒng)之間的通信不受影響，但 Windows 2003/Windows XP 等舊系統(tǒng)與 Windows Vista/2008 以及更高版本的操作系統(tǒng)之間的 SMB 通信會(huì)停止。