2017 年5 月12 日晚上20 时左右，全球爆发大规模蠕虫勒索软件感染事件，仅仅几个小时内，该勒索软件已经攻击了 99 个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招，且攻击仍在蔓延。

据报道，勒索攻击导致 16 家英国医院业务瘫痪，西班牙某电信公司有85%的电脑感染该恶意程序。至少 1600 家美国组织， 11200 家俄罗斯组织和 6500 家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪，包括校园一卡通系统。

该勒索病毒名为“永恒之蓝”，伪装为Windows系统文件，用户一旦感染，电脑中大多数文件类型均会被加密，然后向用户勒索价值 300 或 600 美金的比特币。该病毒影响所有Windows操作系统。

目前，瑞星所有产品均可对该病毒进行拦截，请将瑞星所有产品更新至最新版。同时，瑞星推出该病毒免疫工具“瑞星永恒之蓝免疫工具”，用户可下载防御病毒。

下载地址：

瑞星“永恒之蓝”免疫工具

http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星“永恒之蓝”免疫工具+杀软

http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

内网用户免疫病毒方法：

WanaCrypt的主程序启动时，首先会访问

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果可以访问，则会停止工作。

目前该域名已经被注册，在互联网环境下，WanaCrypt应该已经不再起效。对于无法连接互联网的用户，可以在本地网络环境中增加该域名的解析，起到抑WanaCrypt活性的作用。或者在本机修改host文件，让该域名指向任意有效HTTP服务，都可以起到“免疫”的效果。无法连接互联网的用户需要自己手工修改指向一个内部可访问的HTTP服务，防毒墙可以在拦截到这个HTTP请求时返回成功信息。

瑞星所有产品解决方案

一、瑞星终端安全产品解决方案

瑞星杀毒软件网络版查杀截图：

瑞星安全云查杀截图：

1、更新微软MS17- 010 漏洞补丁，对应不同系统的补丁号对照表：

ESM版： 2.0.1.29

10 网络版：22.04.63.50

11 网络版：23.00.11.85

12 网络版：24.00.12.60

13 网络版：25.00.03.35

以上版本带的漏洞扫描功能已经可以支持以上补丁。

2、ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)

使用行为审计IP规则策略，设置端口规则

l 启用端口规则，根据需要考虑是否勾选“阻止访问时通知用户”

l 从右边增加一条新端口规则，勾选离线生效

l 选择“单个端口”，并设置端口号为445

l 协议选择TCP，方向选择入站

l 注意“允许联网”不要勾选，表示拒绝访问

3、网络版产品设置防火墙规则

l 通过控制，给组设置防火墙组规则，右键组，出操作菜单，设置防火墙规则

特别注意“常规”里一定要选择“禁止”，协议里协议类型选TCP，对方端口选任意端口，本地端口选指定端口，并填445

4、使用公安专版或只有杀毒模块的用户

瑞星杀毒软件会进行病毒库紧急升级，用来查杀相应的病毒。

因为公安专版、单杀毒模块产品上就即不带漏洞补丁修复，又不带防火墙功能，所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。

5、没有防火墙功能的用户，可以在终端上执行以下命令

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block

netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139

也可以将上述命令保存为.bat批处理文件，管理员权限直接运行，制作.bat批处理文件方法：

n 新建一个文本文件

n 把上述命令拷贝到文件里，并保存

n 重命名.txt后缀改为.bat

二、瑞星云安全产品解决方案

(一)关闭系统 445 文件共享端口

1、安装了瑞星虚拟化系统安全软件最新版windows安全防护终端的用户可以在 “网络防护”功能中增加新的“IP规则”以关闭 445 端口，防止黑客通过 445 端口共享入侵感染系统。具体步骤如下：

开启windows安全防护终端的“网络防护”功能

在“IP规则”中增加禁用共享 445 端口的规则设置

亦可通过瑞星虚拟化系统安全软件管理中心进行规则设置

通过系统管理中心的终端管理对终端规则进行设置

设置终端的“IP规则”

增加禁用共享 445 端口的规则设置

注：此设置方法也可应用于策略模板生成，生成的模板可以批量应用于环境内的所有终端。

2、使用了瑞星虚拟化系统安全软件华为无代理防火墙的用户，亦可通过增加防火墙规则，关闭 445 共享端口，实现无代理网络安全防护。设置方法如下：

增加无代理防火墙禁用共享 445 端口的规则

3、如果没有使用瑞星虚拟化系统安全软件的网络防护功能，也可采用以下临时解决方案暂时缓解安全问题：

A.打开“Windows防火墙”，在“高级设置”的入站规则里禁用“文件和打印机共享”相关规则。

B.或通过在终端上执行命令关闭 445 端口共享，命令如下：

netsh firewall

set opmode enable

netsh advfirewall

firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=block

通过管理员权限直接运行即可。

(二)针对SMB远程代码执行漏洞进行补丁修补

1、通过修补Microsoft 安全公告 MS17-010 - 严重安全漏洞补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010，解决黑客利用SMB的远程代码执行漏洞感染计算机的问题。

对应操作系统漏洞补丁编号如下：

2、如果担心补丁稳定性问题，亦可通过如下步骤临时缓解部分系统问题：

通过运行终端命令关闭SMB

适用于运行Windows XP的客户解决方法

net stop rdr

net stop srv

net stop netbt

适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法