“永恒之蓝”利用0day漏洞 ,通过445端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金,折合人民币2000-50000元不等。
445端口:
查看445端口是否开放,根据端口开启情况决定是否关停server服务。
查看445端口开启的方法:
步骤1:单击“开始”->“运行”,输入“cmd”
步骤2:在cmd命令窗口中输入“netstat -an ”,查看445端口状态。 如果445端口处于“listening”,则执行“net stop server”暂时关停server服务。
解决方案
方法1:
从微软官网下载MS17-010补丁修复此缺陷,一劳永逸。补丁下载地址:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
方法2:
开启Windows系统防火墙,屏蔽445端口。
下文以Windows7系统为例,操作步骤如下:
步骤1:打开"控制面板",单击"Windows"防火墙
步骤2:在弹出的对话框中单击"高级设置"。
步骤3:在"高级安全 Windows 防火墙"界面中,分别单击"入站规则"->"新建规则..."。
方法3:关闭 SMBv1 服务
3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户
对于客户端操作系统:
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
3.2 对于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
在“功能”窗口中,清除“SMB 1.0/CIFS
文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表
注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建项︰ SMB1,值0(DWORD)
重新启动计算机
关于影响的操作系统范围和对应的补丁号码详情请见:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx