近期爆出WanaCrypt0r 2.0、onion以及wallet等後綴的勒索加密事件，影響較大(dà)，對于企業的IT管理員(yuán)和信息安全管理員(yuán)，阿裏雲安全專家推薦您按照以下(xià)舉措進行應急響應和處理： 
 
 

• 如果發現大(dà)面積wannacry蠕蟲加密數據并内網傳播，請立即斷網；
• 如果發現部分(fēn)主機疑似被植入了蠕蟲，但數據未被加密，強烈建議您使用雲服務器提供的快照功能立即創建磁盤快照備份；
• 微軟已于2017年3月份修複了此次三個高危的零日漏洞，建議您立即安裝相關補丁（域用戶建議通過域控緊急推送微軟官方的補丁），下(xià)載鏈接點擊：https://technet.microsoft.com/zh-cn/library/security/MS17-010修複漏洞；
• 安裝防病毒軟件（如MSE）：https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc清理，并同時按照第一(yī)步打上補丁；
• WindowsServer 2003微軟官方已經緊急發布針對此次事件的特殊補丁：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/，因此建議您立即安裝相關補丁（域用戶建議通過域控緊急推送微軟官方的補丁），修複漏洞。
• 通過安全組策略增加訪問控制策略，關閉公網和内網入方向的TCP137、139、445、3389端口(注意，關閉3389端口可能導緻無法遠程登錄服務器，建議您通過ECS的管理終端功能登錄管理服務器)；
• 使用以下(xià)命令關閉SMB服務：

       關閉SMB服務方案一(yī) 

關閉SMB服務方案二        
1.請在控制面闆>程序>啓用或關閉windows功能>取消勾選SMB1.0/CIFS文件共享并重啓系統。 
2.打開(kāi)控制面闆>查看網絡狀态和任務>更改适配器設置>右鍵點擊正在使用的網卡後點擊屬性>取消勾選Microsoft網絡文件和打印機共享，重啓系統。




• 檢查【内網】入方向是否存在0.0.0.0/0 允許策略，如果存在，建議您備份安全組設置後，盡快删除0.0.0.0/0條目（注意:删除此策略前，請您務必确認内網需要互訪的請求已經單獨通過安全組策略放(fàng)行。）
• 對于已經被加密的機器目前尚無可靠的解密手段，若有備份，建議您重置系統後使用備份數據進行恢複；
• 新創建的ECS已經安裝了補丁，不受此事件影響，但依然建議您确認高危端口是否對内外(wài)網開(kāi)放(fàng)；如非必要，建議您參考第四步，關閉相關端口；

 
補丁下(xià)載：  
病毒針對 Windwdos Server 2003 至 2008 R2 必須打補丁。目前 Windwdos Server 2012 R2 至 2016 還沒有出現影響情況，但最好還是打上補丁！  
 
阿裏雲的 Windows Server 均爲正版系統，生(shēng)産環境
 
務必開(kāi)啓自動更新！  
 
務必開(kāi)啓自動更新！  
 
務必開(kāi)啓自動更新！  
 
 
安裝補丁不會導緻系統變慢(màn)！ 也可以配合使用安全組禁止公網入、内網入方向的135、137、139、445 等相關端口。 
 
 
Windows Server 2003 特别補丁 - KB4012598  
Security Update for Windows Server 2003 (KB4012598) 
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe  
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)  
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe  
 
 
Windows Server 2008 R2 SP1 補丁 - KB4012212、KB4012215  
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu  
 
 
March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu  
 
 
Windows Server 2012 R2 - 補丁 KB4012213、KB4012216  
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu  
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216) 
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu  
 
 
Windows Server  2016 - 補丁 KB4013429  
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu  
 
Q&A問答：  
1.對于 MS17-010，裏面包含 2 個安全更新号碼 4012215 和 4012212，是都需要打還是隻要打一(yī) 個 4012212 就可以呢? 
KB4012215 是 2017 年 3 月的安全質量更新彙總，涵蓋了 KB4012212，因此兩者任選一(yī)個安裝，都能修複漏洞。 
 
2.安裝時提示此更新不适用于您的計算機，怎麽辦? 
請确認系統滿足了先決條件再安裝。例如 Windows Server 2008 R2, 必須在 Service Pack 1 安裝完成後，才能安裝這次涉及到的安全更新。 
 
3.如何判斷是否已經安裝了正确的補丁? 
首先重啓系統。然後對于 Vista SP2/Server 2008 SP2 開(kāi)始的系統，可以使用 PowerShell 命令 Get-hotfix 來确認。 
即使安裝了 MS17-010 還有可能中(zhōng)招，如果中(zhōng)招了是否可以殺毒，還是必須重裝?此時系統還 會傳播勒索軟件嗎(ma)? 
 
4.如果是 2003 的能夠尋求微軟的幫助嗎(ma)? 
Windows Server 2003 Service Pack 2 已經結束支持周期 2 年了。微軟針對這次事件，特地破例 發布 2003 SP2 的漏洞修複——安全更新。
 
5.是否會跨網段傳播? 
會 
 
6.SMB V1 如果停止了會有什麽影響? 
SMB v1 是從 Windows Vista SP2/Windows Server 2008 SP2 開(kāi)始引入的。如果停止掉， Vista/Server 2008 之前的系統(XP/Server 2003)就無法訪問共享。Computer Browser 服務也會 受到影響。如果系統上有較多應用依存于 SMB v1 的話(huà)，這些應用可能無法使用。 
 
7.感染了的話(huà)，付錢是否能解決問題，是否有其他隐患? 
您的資(zī)産的價值需要您來評估，最終由您決定是否值得付錢解決。 
如果要重新安裝系統，隻格式化 C 盤就可以了還是需要全盤格式化? 如果沒有專業的事件分(fēn)析，很難說是否需要所有磁盤格式化。 
 
8.目前看到傳播的速度多快?是否可能手工(gōng)停止病毒進程來防範? 
勒索軟件一(yī)般采用非對稱秘鑰加密算法加密秘鑰，然後用對稱秘鑰和這個秘鑰來快速把文件進 行加密。加密文件并不僅僅局限于文本類型文件。整個加密的過程本身是比較快的。往往在人 們感知(zhī)到時，已經非常晚了。我(wǒ)們微軟的防病毒軟件可以檢測客戶端上進程的行爲，如果發現 類似勒索軟件的惡意行爲，在沒有準确病毒庫下(xià)也會攔截。雖然攔截速度和快，還是有可能不 幸您的部分(fēn)重要文件已經被加密。 
 
9.如果系統無法安裝補丁更新該怎麽辦? 
WannaCrypt 病毒利用了 SMBv1 組件中(zhōng)的一(yī)個漏洞進行攻擊。對于 Windows Vista/2008 以上版 
本的客戶端/服務器，可以關閉 SMBv1 的服務。
 
對于 Windows XP/2003 服務器，可以關閉 SMB 協議:  
設置以下(xià)注冊表鍵值後重啓系統 
Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters Name: SMBDeviceEnabled 
Type: DWORD (REG_DWORD) 
Data: 0 
需要重啓系統 
 
10.停止 SMBv1 會對系統造成哪些影響? 
SMB 協議是局域網内常用的協議，這個協議的主要目的是提供不同系統之間的文件，打印機，串口及 其他設備的數據訪問共享通信。關閉 SMB 協議造成的最直接影響是失去(qù)文件共享，網絡打印等功能，同時某些利用 SMB 協議提供的通信功能也會受到影響，例如通過命名管道建立的通信也會受到 影響。 
SMBv1 服務是 Windows 2003/Windows XP 等舊(jiù)系統進行 SMB 通信的協議。Windows Vista/2008 以及更 高版本的操作系統可以使用 SMBv2 及以後版本的協議進行通信。簡單地說，在 Windows Vista/2008 以 及更高版本的操作系統之間的通信不受影響，但 Windows 2003/Windows XP 等舊(jiù)系統與 Windows Vista/2008 以及更高版本的操作系統之間的 SMB 通信會停止。