研判分析认为,目前较为明确的攻击幕后背景线索主要是从代码中逆向分析发现的三个比特币钱包地址以及五个暗网命令控制服务器,各国网络安全与司法调查机构均已锁定了这些目标,通过各方合作,力求尽快发现攻击者的实际背景情况。
四、处置建议
“WannaCry”勒索蠕虫是勒索软件类病毒中全球首例使用远程高危漏洞进行自我传播的蠕虫,加密编程规范,如不公开私钥,很难通过其他手段对被加密勒索的文件进行解密,为此建议:
(一)应急措施
1、立即断网,防止扩散和蔓延。对于已经感染“WannaCry”勒索蠕虫的计算机,尽快关机,取出硬盘,通过专业数据恢复软件进行恢复。立即切断内外网连接,避免感染网络中的其他计算机。
2、启动恢复程序,及时修复补丁。若计算机存在备份,应启动备份恢复程序,及时安装修复补丁。
(二)防范方案
1、个人用户采取应急措施,安装漏洞修复补丁。“WannaCry”勒索蠕虫利用的是微软官方的SMB漏洞,请个人用户及时检查安装MS17-010修复补丁。与此同时,及时采取临时解决方案,一是关闭计算机的445端口,二是配置主机级ACL策略封堵445端口,三是打开“Windows防火墙”,进入“高级设置”,在入站规则中禁用“文件和打印机共享”相关规则。
2、网络管理员修改网络配置,监控网络接口。建议各网络管理员在网络防火墙上配置相关策略,限制外部对445端口的访问,加强内网审计。同时在接入交换机或核心交换机抓包,查看是否存在大量扫描内网139、135、445端口的网络行为,及时定位扫描发起点,对扫描设备进行病毒查杀,一旦发现被感染主机,立即断网防止进一步扩散。
(三)日常使用规范
