近日网信中心接到高校信息安全工作组安全警示报告，全球范围内正在爆发一次利用windows操作系统漏洞的勒索病毒，工作组反馈国内高校已出现个人用户感染该勒索病毒，重要文件被加密，类似下图所示。

经过初步调查，此类勒索病毒利用了基于445端口传播扩散的SMB漏洞，部分学校感染台数较多，大量重要信息被加密，只有支付高额的比特币赎金才能解密恢复文件，损失严重。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序，可以攻击开放了445端口的Windows机器，实现远程命令执行。微软在今年3月份发布的MS17-010补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。

此次利用的SMB漏洞影响以下未自动更新的操作系统：

Windows XP／Windows 2000／Windows 2003

Windows Vista／Windows Server 2008／Windows Server 2008 R2

Windows 7／Windows 8／Windows 10

Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

我校校园网一直以来对445端口都进行了封闭，因此整体上受此次事件影响风险较小，但校园网的安全措施只能避免外网到校园网的病毒一次传播，还请用户对自己的电脑进行加固，以避免病毒的二次传播，具体参考建议如下：

1、升级操作系统：

建议广大师生尽量将windows操作系统升级到Windows7以上，并使用自动更新升级Windows的最新补丁。

2、关闭文件打印共享服务，或者启用“Windows防火墙”，关闭445等相关端口。

3、重要数据一定注意定期进行离线备份。

参考链接：
  https://technet.microsoft.com/zh-cn/library/security/MS17-010

https://github.com/x0rz/EQGRP_Lost_in_Translation/

/images/https:blogs.technet.microsoft.commsrc20170512customer-guidance-for-wannacrypt-attacks

尤其是使用windows xp的系统，如因特殊需要无法升级到windows 7以上系统，必须安装微软针对SMB漏洞的专用补丁。

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Windows xp和Windows 2003系统补丁校内下载连接：

/images/pandluteducnshareidaui11fzmrwpp.js

微软官方防范及修复指南V1.1