近期爆出WanaCrypt0r 2.0、onion以及wallet等后綴的勒索加密事件，影響較大，對于企業(yè)的IT管理員和信息安全管理員，阿里云安全專家推薦您按照以下舉措進行應急響應和處理： 
 
 

• 如果發(fā)現(xiàn)大面積wannacry蠕蟲加密數(shù)據(jù)并內(nèi)網(wǎng)傳播，請立即斷網(wǎng)；
• 如果發(fā)現(xiàn)部分主機疑似被植入了蠕蟲，但數(shù)據(jù)未被加密，強烈建議您使用云服務器提供的快照功能立即創(chuàng)建磁盤快照備份；
• 微軟已于2017年3月份修復了此次三個高危的零日漏洞，建議您立即安裝相關補?。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補?。?/span>下載鏈接點擊：https://technet.microsoft.com/zh-cn/library/security/MS17-010修復漏洞；
• 安裝防病毒軟件（如MSE）：https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc清理，并同時按照第一步打上補??；
• WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對此次事件的特殊補丁：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/，因此建議您立即安裝相關補?。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補?。?，修復漏洞。
• 通過安全組策略增加訪問控制策略，關閉公網(wǎng)和內(nèi)網(wǎng)入方向的TCP137、139、445、3389端口(注意，關閉3389端口可能導致無法遠程登錄服務器，建議您通過ECS的管理終端功能登錄管理服務器)；
• 使用以下命令關閉SMB服務：

       關閉SMB服務方案一 

關閉SMB服務方案二        
1.請在控制面板>程序>啟用或關閉windows功能>取消勾選SMB1.0/CIFS文件共享并重啟系統(tǒng)。 
2.打開控制面板>查看網(wǎng)絡狀態(tài)和任務>更改適配器設置>右鍵點擊正在使用的網(wǎng)卡后點擊屬性>取消勾選Microsoft網(wǎng)絡文件和打印機共享，重啟系統(tǒng)。




• 檢查【內(nèi)網(wǎng)】入方向是否存在0.0.0.0/0 允許策略，如果存在，建議您備份安全組設置后，盡快刪除0.0.0.0/0條目（注意:刪除此策略前，請您務必確認內(nèi)網(wǎng)需要互訪的請求已經(jīng)單獨通過安全組策略放行。）
• 對于已經(jīng)被加密的機器目前尚無可靠的解密手段，若有備份，建議您重置系統(tǒng)后使用備份數(shù)據(jù)進行恢復；
• 新創(chuàng)建的ECS已經(jīng)安裝了補丁，不受此事件影響，但依然建議您確認高危端口是否對內(nèi)外網(wǎng)開放；如非必要，建議您參考第四步，關閉相關端口；

 
補丁下載：  
病毒針對 Windwdos Server 2003 至 2008 R2 必須打補丁。目前 Windwdos Server 2012 R2 至 2016 還沒有出現(xiàn)影響情況，但最好還是打上補丁！  
 
阿里云的 Windows Server 均為正版系統(tǒng)，生產(chǎn)環(huán)境
 
務必開啟自動更新！  
 
務必開啟自動更新！  
 
務必開啟自動更新！  
 
 
安裝補丁不會導致系統(tǒng)變慢！ 也可以配合使用安全組禁止公網(wǎng)入、內(nèi)網(wǎng)入方向的135、137、139、445 等相關端口。 
 
 
Windows Server 2003 特別補丁 - KB4012598  
Security Update for Windows Server 2003 (KB4012598) 
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe  
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)  
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe  
 
 
Windows Server 2008 R2 SP1 補丁 - KB4012212、KB4012215  
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu  
 
 
March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu  
 
 
Windows Server 2012 R2 - 補丁 KB4012213、KB4012216  
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu  
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216) 
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu  
 
 
Windows Server  2016 - 補丁 KB4013429  
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu  
 
Q&A問答：  
1.對于 MS17-010，里面包含 2 個安全更新號碼 4012215 和 4012212，是都需要打還是只要打一 個 4012212 就可以呢? 
KB4012215 是 2017 年 3 月的安全質量更新匯總，涵蓋了 KB4012212，因此兩者任選一個安裝，都能修復漏洞。 
 
2.安裝時提示此更新不適用于您的計算機，怎么辦? 
請確認系統(tǒng)滿足了先決條件再安裝。例如 Windows Server 2008 R2, 必須在 Service Pack 1 安裝完成后，才能安裝這次涉及到的安全更新。 
 
3.如何判斷是否已經(jīng)安裝了正確的補丁? 
首先重啟系統(tǒng)。然后對于 Vista SP2/Server 2008 SP2 開始的系統(tǒng)，可以使用 PowerShell 命令 Get-hotfix 來確認。 
即使安裝了 MS17-010 還有可能中招，如果中招了是否可以殺毒，還是必須重裝?此時系統(tǒng)還 會傳播勒索軟件嗎? 
 
4.如果是 2003 的能夠尋求微軟的幫助嗎? 
Windows Server 2003 Service Pack 2 已經(jīng)結束支持周期 2 年了。微軟針對這次事件，特地破例 發(fā)布 2003 SP2 的漏洞修復——安全更新。
 
5.是否會跨網(wǎng)段傳播? 
會 
 
6.SMB V1 如果停止了會有什么影響? 
SMB v1 是從 Windows Vista SP2/Windows Server 2008 SP2 開始引入的。如果停止掉， Vista/Server 2008 之前的系統(tǒng)(XP/Server 2003)就無法訪問共享。Computer Browser 服務也會 受到影響。如果系統(tǒng)上有較多應用依存于 SMB v1 的話，這些應用可能無法使用。 
 
7.感染了的話，付錢是否能解決問題，是否有其他隱患? 
您的資產(chǎn)的價值需要您來評估，最終由您決定是否值得付錢解決。 
如果要重新安裝系統(tǒng)，只格式化 C 盤就可以了還是需要全盤格式化? 如果沒有專業(yè)的事件分析，很難說是否需要所有磁盤格式化。 
 
8.目前看到傳播的速度多快?是否可能手工停止病毒進程來防范? 
勒索軟件一般采用非對稱秘鑰加密算法加密秘鑰，然后用對稱秘鑰和這個秘鑰來快速把文件進 行加密。加密文件并不僅僅局限于文本類型文件。整個加密的過程本身是比較快的。往往在人 們感知到時，已經(jīng)非常晚了。我們微軟的防病毒軟件可以檢測客戶端上進程的行為，如果發(fā)現(xiàn) 類似勒索軟件的惡意行為，在沒有準確病毒庫下也會攔截。雖然攔截速度和快，還是有可能不 幸您的部分重要文件已經(jīng)被加密。 
 
9.如果系統(tǒng)無法安裝補丁更新該怎么辦? 
WannaCrypt 病毒利用了 SMBv1 組件中的一個漏洞進行攻擊。對于 Windows Vista/2008 以上版 
本的客戶端/服務器，可以關閉 SMBv1 的服務。
 
對于 Windows XP/2003 服務器，可以關閉 SMB 協(xié)議:  
設置以下注冊表鍵值后重啟系統(tǒng) 
Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters Name: SMBDeviceEnabled 
Type: DWORD (REG_DWORD) 
Data: 0 
需要重啟系統(tǒng) 
 
10.停止 SMBv1 會對系統(tǒng)造成哪些影響? 
SMB 協(xié)議是局域網(wǎng)內(nèi)常用的協(xié)議，這個協(xié)議的主要目的是提供不同系統(tǒng)之間的文件，打印機，串口及 其他設備的數(shù)據(jù)訪問共享通信。關閉 SMB 協(xié)議造成的最直接影響是失去文件共享，網(wǎng)絡打印等功能，同時某些利用 SMB 協(xié)議提供的通信功能也會受到影響，例如通過命名管道建立的通信也會受到 影響。 
SMBv1 服務是 Windows 2003/Windows XP 等舊系統(tǒng)進行 SMB 通信的協(xié)議。Windows Vista/2008 以及更 高版本的操作系統(tǒng)可以使用 SMBv2 及以后版本的協(xié)議進行通信。簡單地說，在 Windows Vista/2008 以 及更高版本的操作系統(tǒng)之間的通信不受影響，但 Windows 2003/Windows XP 等舊系統(tǒng)與 Windows Vista/2008 以及更高版本的操作系統(tǒng)之間的 SMB 通信會停止。