周五下班刚结束，大家都在讨论母亲节该送些什么礼物好呢，结果5月12日晚上20时左右，一大波病毒席卷了全球100多个国家。今年这份”母亲节礼物“真是够份量，够气派，一亮相就刷爆了整个安全行业的朋友圈。下面小编就来简单介绍一下这份震惊世界的“大礼“。

今天是母亲节，Wannacry这份”大礼“我们拒收

事件背景

5月12日晚上20时左右，全球范围内爆发了基于Windows网络共享协议进行攻击传播的蠕虫恶意代码。五个小时内，包括美国、俄罗斯以及整个欧洲在内的100多个国家，及国内的高校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了教学系统瘫痪，包括校园一卡通系统，对重要数据造成严重损失。截至5月13日，国内已经有超过上万台机器被感染。

这次的“永恒之蓝”勒索蠕虫，是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

在之前就已经爆发的多次利用445端口进行蠕虫攻击的事件中，部分运营商在主干网络上已经封禁了445端口，但是教育网以及大量企业内网并没有此限制，而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致了这次“永恒之蓝”勒索蠕虫的泛滥。

事件评定

针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫攻击，相关安全监测与响应中心对此事件的风险评级为危急，并发布针对大型机构的紧急应对方案。

艾科网信“捉妖记”

针对勒索病毒，根源是smb（Server Message Block）服务，为切实避免“永恒之蓝”勒索蠕虫对业务系统和办公终端带来影响，艾科网信给出了以下有效解决方案：

一，禁用smb服务，配置策略后，高版本客户端可自动禁用，低版本会退网隔离；

二，禁止从外部访问本地的tcp 445端口，可以通过软件下发脚本或执行入网脚本来实现；同时可以通过软件检查端口的形式使开启了该端口的终端退网隔离；

三，检查补丁，缺少此补丁的将退网隔离；

四，通过U盘管理功能，禁止内网终端使用U盘，防止病毒通过U盘的形式传播；

五，定义网络服务策略，只允许终端与内网地址通讯。

 在这种表面上的风平浪静之中，而以窃密、预制为目的的APT攻击却肆意妄为，始终未能得到足够的重视。因此在过去几年，内网安全风险是围绕高度隐蔽性和定向性展开的，这种风险难以感知的特点，导致内网安全未得到有效的投入和重视。这也将刺激全球网络安全行业加速发展，有效预防控制及破解此类病毒攻击。艾科网信将竭力保障广大用户的内网信息安全，一路“降妖除怪”，在这个母亲节为祖国母亲献上一份精心准备的大礼。