■来源|国家互联网应急中心

上海时间5月12日，网络上发生一起针对Windows操作系统的Wannacry犯罪攻击案件。 Threatware利用此前披露的WindowsSMB服务漏洞（对应谷歌漏洞公告：MS17-010）向终端用户进行渗透和传播，并用比特币或其他贵重物品威胁用户。 包括学校、能源等重要信息系统在内的不少国外用户遭到攻击，对我国互联网构成了较为严重的安全威胁。

1

恐吓软件情况

综合CNCERT和国外网络安全公司（奇虎360、安天等）获得的样本和分析结果，该威胁软件基于445端口和SMB服务漏洞（MS17-010）进行传播。 可以判断，是“ShadowBrokers”泄露漏洞攻击工具引发的后续黑客威胁。 4月16日，CNCERT主办的CNVD发布《关于加强Windows操作系统及相关软件漏洞攻击风险防范的公告》，披露了影子经纪商“ShadowBrokers”披露的多种涉及Windows操作系统SMB服务的漏洞。 通报攻击工具的状态（相关工具列表如下），并对可能发生的大规模攻击进行预警：

当用户的主机系统被威胁软件入侵时，会弹出如下勒索对话框，提示威胁的目的，并向用户索要比特币。 对于用户主机上几乎所有类型的重要文件，如照片、图片、文档、压缩文件、音频、视频、可执行程序等，加密后的文件扩展名统一改为“.WNCRY”。 目前安全行业还无法有效放弃威胁软件的恶意加密行为。 一旦用户主机被威胁软件渗透，只能通过重新安装操作系统来消除威胁，但用户的重要数据文件无法直接恢复。

2

紧急措施

CNCERT（国家互联网应急响应中心）已经开始检测威胁软件及相关网络攻击。 5月13日9时30分至12时00分，境内外约101.1万个IP地址遭到“永恒之蓝”中小企业的攻击，其中IP地址超过9300个（包括攻击成功的主机地址和被攻击的主机地址）可能已经感染了蠕虫病毒），通过漏洞攻击工具发起了成功的攻击尝试。 建议用户及时更新Windows发布的安全补丁，同时在网络边界、内网区域、主机资产、数据备份等方面做好以下工作：

紧急措施

（1）关闭445等端口（其他关联端口如：135、137、139）的外网访问权限，并关闭服务器上任何必要的上述服务端口；

（2）加强对445等端口（其他关联端口如：135、137、139）等内网区域访问的审核，及时发现未经授权的行为或潜在的犯罪行为；

(3)及时更新操作系统补丁。

(4)及时安装和更新防病毒软件。

（5）不要轻易打开来历不明的电子邮件。

（6）定期在不同存储介质上备份信息系统业务和个人数据。

未来，CNCERT将密切检测和关注威胁软件的攻击行为，同时与安全行业合作，追踪和防范可能出现的新的攻击传播方式和恶意样本。

【联想温馨提示】

什么笔记本电脑更容易感染洋葱威胁病毒？

• 操作系统、办公软件等未使用正版软件，且未及时更新Bug和补丁电脑 维护的软件，或因其他原因关闭Windows手动更新；

• 不关闭不常用端口；

• 个人网络安全意识淡薄，没有定期备份文件的习惯。

使用Windows笔记本应该养成哪些好习惯？

•使用Windows内置功能更新补丁，不要使用第三方管家和工具更新补丁。

•养成定期备份的好习惯，重要数据云盘+本地多设备、多点备份。

•加强网络意识，不点击未知链接，不下载未知文件。

•安装防病毒软件和防火墙。 这里推荐联想笔记本管家杀毒版，并将病毒库升级到最新2017-05-13

致联想用户

联想笔记本管家也关心所有男性伴侣。 病毒出现后，联想笔记本管家安全工程师立即响应，密集制定查杀方案。 您可以前往官方网站下载最新版本的联想笔记本管家，全面保护您的计算机。 笔记本。

联想笔记本管家官方下载地址：

温馨提示：下载安装管家后，必须在病毒查杀选项卡中点击“检查更新”，将病毒库升级至最新2017-05-13；

建议男性伴侣尽快将Windows操作系统升级到Windows 10。 自谷歌3月份更新安全补丁以来，Windows 10通常都可以接受该补丁。 很多老系统可能已经结束了更新支持，或者没有更新最新的补丁，或者系统补丁被一些第三方管家接管，谷歌的补丁没有应用。

•预装正版Windows系统的联想笔记本可送往就近的联想官方售后服务处电脑 维护的软件，帮助您充装预装正版操作系统。

•联想用户可联系联想在线服务渠道