尊敬的新網(wǎng)用戶，您好：

　　在Wannacry蠕蟲(chóng)事件發(fā)生之后，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)對(duì)“永恒之藍(lán)”SMB漏洞攻擊進(jìn)行了持續(xù)監(jiān)測(cè)。在Wannacry蠕蟲(chóng)傳播的初期，發(fā)起SMB漏洞攻擊嘗試的主機(jī)數(shù)量(很可能已感染蠕蟲(chóng))呈現(xiàn)下降趨勢(shì)，而在最近幾日，發(fā)起SMB漏洞攻擊嘗試的主機(jī)數(shù)量又出現(xiàn)了明顯上升的趨勢(shì)，我司現(xiàn)將有關(guān)情況通報(bào)如下，請(qǐng)廣大云主機(jī)、租用托管客戶關(guān)注：

　　一、監(jiān)測(cè)情況

　　綜合CNCERT和國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，通過(guò)SMB漏洞傳播的蠕蟲(chóng)病毒中，除具備勒索軟件功能的變種外，還有一些變種具備遠(yuǎn)程控制功能但沒(méi)有勒索軟件功能，而感染了后者的用戶一般不易覺(jué)察，難以及時(shí)采取防護(hù)和處置措施，因此SMB漏洞攻擊次數(shù)上升可能標(biāo)志著出現(xiàn)新的蠕蟲(chóng)變種依然在默默傳播，我國(guó)互聯(lián)網(wǎng)安全仍然面臨著巨大風(fēng)險(xiǎn)。CNCERT再次提醒廣大互聯(lián)網(wǎng)用戶及時(shí)做好應(yīng)急防護(hù)措施，詳細(xì)方法見(jiàn)CNCERT于5月13日發(fā)布的《關(guān)于防范 Windows 操作系統(tǒng)勒索軟件Wannacry的情況通報(bào)》

　　(https://www.cert.org.cn/publish/main/8/2017/20170513170143329476057/20170513170143329476057_.html)。

　　二、自查方法

　　在此提醒廣大用戶及時(shí)采取如下方法進(jìn)行自查：

　　1、在以下目錄出現(xiàn)如下文件之一：

　　c:\\windows\\mssecsvc.exe

　　c:\\windows\\tasksche.exe

　　c:\\windows\\qeriuwjhrf

　　c:\\program files\\microsoft updates\\updateinstaller

　　c:\\program files\\microsoft updates\\svchost.exe

　　c:\\program files\\microsoft updates\\torunzip.exe

　　2、在磁盤(pán)任意位置出現(xiàn)以下七個(gè)文件之一：

　　architouch.inconfig.xml

　　doublepulsar.inconfig.xml

　　eternalblue.inconfig.xml

　　eternalchampion.inconfig.xml

　　eternalromance.inconfig.xml

　　eternalsynergy.inconfig.xml

　　smbtouch.inconfig.xml

　　3、利用進(jìn)程監(jiān)視工具，發(fā)現(xiàn)名為 tasksche.exe 的進(jìn)程。

　　4、在注冊(cè)表中搜索“EternalRocks”關(guān)鍵字。

　　若主機(jī)中出現(xiàn)上述情況之一，即可判斷當(dāng)前系統(tǒng)已被蠕蟲(chóng)病毒感染。

　　三、新網(wǎng)提供檢查腳本及處理建議：

　　您可以點(diǎn)擊“此處”下載(下載到本地后修改文件名為jiance.bat )并在云主機(jī)系統(tǒng)中任一目錄運(yùn)行該自查腳本。

　　一旦發(fā)現(xiàn)系統(tǒng)已感染蠕蟲(chóng)病毒，建議您：

　　1、備份重要數(shù)據(jù);

　　2、重置系統(tǒng)，并立即更新相關(guān)補(bǔ)丁，相關(guān)補(bǔ)丁請(qǐng)參考：

　　針對(duì)上述SMB等協(xié)議漏洞及攻擊工具的相關(guān)建議如下：

　　(1)及時(shí)更新和安裝Windows已發(fā)布的安全補(bǔ)丁;

　　(2)關(guān)閉135、137、139、445等端口的外部網(wǎng)絡(luò)訪問(wèn)權(quán)限，在主機(jī)上關(guān)閉不必要的上述服務(wù)端口;

　　(3)加強(qiáng)對(duì)135、137、139、445等端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問(wèn)審計(jì)，及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為;

　　(4)由于微軟對(duì)部分操作系統(tǒng)停止對(duì)Window XP和Windows server 2003的安全更新，建議對(duì)這兩類操作系統(tǒng)主機(jī)重點(diǎn)進(jìn)行排查。針對(duì)上述漏洞，Window XP和Windows Server 2003用戶以及其他無(wú)法直接使用Windows自動(dòng)更新功能的用戶可根據(jù)Windows系統(tǒng)和版本自行從微軟官網(wǎng)(見(jiàn)上述各個(gè)漏洞工具描述中提供的補(bǔ)丁下載地址鏈接)下載補(bǔ)丁文件并安裝。

　　另：新網(wǎng)已對(duì)虛擬主機(jī)、馳云服務(wù)器進(jìn)行了妥善的安全防護(hù)，確保不會(huì)受到此次蠕蟲(chóng)病毒的影響，請(qǐng)廣大客戶放心。