近期，多所高校发生大量电脑感染勒索病毒，重要文件被加密，类似下图所示。

    此类勒索病毒是利用了基于445端口的Windows网络共享协议进行攻击传播的蠕虫恶意代码。部分学校感染台数较多，大量重要信息被加密，只有支付高额的比特币赎金才能解密恢复文件，损失严重。

教育网及校园网已采取网络层安全措施

    为了保障CERNET网络正常通信，CERNOC已经暂时封禁了38个节点上的445端口。我校的普通IP已默认禁止外网主动访问所有端口，对于登记为服务器类型的IP地址，已追加封禁了135/137/139/445/3389端口。

Windows用户需采取终端层安全措施

此次病毒利用的漏洞影响以下未自动更新的操作系统：

    Windows XP／Windows 2000／Windows 2003

    Windows Vista／Windows Server 2008／Windows Server 2008 R2 

    Windows 7／Windows 8／Windows 10

    Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

    请广大校园网Windows用户积极采取终端层安全措施：

    1、Win7及以上版本的系统：微软在今年3月份已发布补丁MS17-010修复此攻击的系统漏洞，请尽快安装此补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010，个人用户也可通过常用的360管家和腾讯管家等软件进行系统漏洞修复。

    2、XP、2003等低版本系统：微软已不再提供安全更新的系统，建议关闭445、135、137、138、139端口，关闭网络共享功能。

    3、漏洞检测预防：下载各类专杀工具进行检测和加固，例如：http://dl.360safe.com/nsa/nsatool.exe。

    4、校园网内已感染的计算机会携带病毒活体文件且在内网进一步传播，因此应谨慎使用USB设备或文件拷贝，及时更新病毒防护软件。

    5、针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。

我校早前发布的相关告警通知

发布“BadLock威胁预警通告”的通知 

http://www.gznet.edu.cn/2016/0331/c5603a91720/page.htm

Locky病毒不可怕，做好预防，很重要！

http://www.gznet.edu.cn/2016/0421/c5603a91721/page.htm

信息网络工程研究中心

2017年5月13日