突发事件
北京时间2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，共有上百个国家数万台Windows系统电脑中招，包括教育、医疗等重要机构，并仍在迅速蔓延中。国内大量电脑遭遇到勒索软件感染，由于教育网未对445端口进行屏蔽，我国多家高校校园网也受到影响。

事件背景
该勒索软件是一个名为“WanaCrypt0r”的新型勒索软件。目前无法解密受到该类型的勒索软件感染的文件。据悉，这些病毒加载了上个月泄漏出来的美国国家安全局NSA的黑客武器库。除了具有已知勒索软件的特性，通过钓鱼邮件传播外，一旦Wanacrypt0r 进入了企业内网，它可以利用NSA的工具远程攻击内网的Windows系统。而这些强大的NSA工具可以攻破全球70%的Windows系统。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的攻击工具 “永恒之蓝”。这个工具会扫描开放445 TCP 端口的Windows机器，攻击如果成功，无需用户任何操作，不法分子就能在目标电脑和服务器中植入Wanacrypt0r勒索软件。

在这次攻击爆发的第一时间，山石智能安全技术的智能下一代防火墙就第一时间发现了某用户主机尝试访问该域名，建立C&C连接通道的网络行，帮助用户及时实施防护，保护IT资产。

攻击过程
Wanacrypt0r勒索软件攻击过程主要为病毒传播、病毒感染 、实施勒索三个步骤:
•此次病毒传播，利用SMB漏洞，使用“永恒之蓝”来进行初始攻击。
•被执行后，WanaCrypt0r加密本地关键文件和网络共享文件夹。
•完成加密后，勒索软件在用户系统弹出提示框，对用户进行勒索。如需恢复被加密文件，需要缴纳赎金。

应对措施
山石网科防勒索软件解决方案，多个维度，提供完美的细致的实时防护和层层防：

在侦查和漏洞利用阶段：

• 利用策略管控 —— 禁止外网到内网的SMB流量，在防火墙上阻断对135/137/139/445端口的访问；禁止SMB服务流量在内网不同区域之间转发，从而禁止Wanacrypt0r恶意流量感染到内网的不同区域。
• 利用入侵防御系统 —— 山石网科入侵防御系统已经加入对MS17-010的检测特征，升级山石网科入侵防御系统特征库到2.1.187版本，开启1905385, 1905387, 1905388, 1905389, 1905390规则，即可对利用MS17-010的漏洞进行检测和防御。

在病毒传播阶段：

• 利用病毒过滤 —— 山石网科病毒过滤的特征库已经加入Wanacrypt0r的特征，开启病毒过滤功能即可进行检测和拦截。

• 利用沙箱防护 —— 山石网科沙箱防护已经可以检测到Wanacrypt0r及其变种，开启沙箱防护即可对Wanacrypt0r及其变种进行检测。

在勒索软件执行阶段：
当Wanacrypt0r勒索软件通过网络途径突破入侵防御和病毒过滤的检测及防护，或是通过BYOD带入绕过网络途径的防护措施，进入到执行锁定阶段，山石智能安全检测技术将成为最后一道防线。

山石网科的域名生成算法（Domain Generation Algorithms, DGA）检测到WanaCrypt0r对异常域名的连接，并将其标记为域名相关的威胁事件。根据这个事件的通知，企业安全管理员应该注意到部分内部主机被WanaCrypt0r感染，从而立即采取策略，阻止病毒的传播。

（来自ETOpen ）