苗松娟+杨丽君+姚文鹏+李宁+况伟

摘要：病毒和电脑网络相伴而生，前不久“永恒之蓝”病毒的爆发，给广大网络用户敲响了警钟，尤其是美国国安全局和方程式组织的介入，使得这次病毒的破坏性更强。该文介绍了永恒之蓝的特点、影响及防范措施，以及在这次病毒处理过程中暴露出的问题。最后介绍了方程式组织及影子经济人，及如何有效防范网络病毒。

关键词：永恒之蓝；漏洞补丁；防火墙

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）25-0052-03

1 概述

互联网在我国从无到有、从小到大，仅仅几十年的迅速发展，日益渗透到社会发展的方方面面，我国已成为名副其实的网络大国，但是繁荣的同时，我国也将成为面临网络安全威胁最严重的国家之一。前不久，“WannaCry”病毒席卷全球150多个国家，导致20多万家机构的电脑中毒，我国部分高校、地方出入境、加油站、医院等公共服务网络受到袭击，也为大家敲响了警钟。

2 永恒之蓝

2.1 什么是 WannaCry “永恒之蓝”病毒

5 月12日，新型蠕虫勒索病毒WannaCry在全球大规模爆发，此次勒索病毒正是利用披露的军火库中的多种漏洞工具之一。该病毒与其他同类勒索病毒不同，它是一种可自动感染其他电脑进行传播的蠕虫病毒，因链式反应而迅猛爆发。主要感染Windows系统，它会利用加密技术锁死文件，禁止用户访问，并以此勒索用户。凡局域网电脑染上病毒，几乎无法恢复，只能按黑客提供的账户，给其提供比特币，否则电脑文件尽毁，所以它被称之为勒索病毒。

2.2 Wannacry的主要特点

主要針对内部网络环境，传染性强，爆发速度快，利用445端口传播。当某台电脑被感染后，其同网络中的其他电脑也被感染，这种超强的自主传播能力，能够在数小时内感染一个系统内的全部电脑。并且无需用户任何操作，就可以将所有磁盘文件加密、锁死，后缀变为.onion，随后，黑客可以远程控制木马，向用户勒索“赎金”。

2.3Wannacry主要影响

这次病毒爆发速度之快，影响范围之广，前所未有。病毒席卷全球150多个国家，导致20多万家机构的电脑中毒。病毒最初在一高校学生的电脑中出现，中毒者以为内容特别搞笑，要求尽快支付勒索赎金，否则将删除文件，原以为这只是一个小范围的恶剧。没想到五个小时内，该勒索病毒大面积爆发，许多高校中招，愈演愈烈。包括英国、俄罗斯、整个欧洲以及我国部分高校、地方出入境、加油站、医院等公共服务网络受到袭击，大型企业内网和政府机关专网悉数中招，对重要数据造成严重威胁。

现实的影响是一方面的，心理影响就更可怕。多少人不敢轻易开电脑，特别是平时只管使用，根本不懂电脑的用户。多少用户已经关闭了445端口，还不放心，又用永恒之蓝免疫工具再开一遍。有的人甚至用永恒之蓝专杀、关闭端口、系统打补丁、免疫工具全用上了。最后把机器搞蓝屏，弄崩溃了，这种情况还为数不少。

3 变种勒索病毒（petya）

2017年6月27日晚，欧洲又遭到新一轮勒索病毒的冲击，该病毒变种名为Petya，英国、乌克兰、俄罗斯等都受到了不同程度的影响，该病毒和永恒之蓝勒索软件很类似，都是远程锁定设备，然后索要赎金。

3.1 petya 病毒和WannaCry 病毒不同之处

该病毒不再单独加密的单个文件，而是加密NTFS分区，覆盖MBR、阻止机器正常启动进入系统。通过攻击底层磁盘架构，达到无法访问整个系统的目的。不仅创建了自身的引导程序，而且还创建了一个微型的内核。Petya释放文件向磁盘头部写入恶意代码，被感染系统的主引导记录被引导加载程序重写，并且加载一个微型恶意内核。接着，这个内核开始进行加密。它只加密了主文件表，因此文件系统不可读。

3.2 Petya 的主要特点

传染性强，爆发速度快，利用多种漏洞 。该变种采用了邮件、下载器和蠕虫的组合传播方式。病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放，之后释放Downloader来获取病毒母体，形成初始扩散节点，之后通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力，对内网安全总体上比此前受到广泛关注的WannaCry有更大的威胁。

4 病毒发作后局域网的应对措施

4.1 封锁网络边界

首先，作为网络管理员，在局域网各终端都还没来得及进行补丁更新时，要把好网络防火墙的入口关，禁止漏洞端口的访问，先从网络边界封堵漏洞。

4.2 关闭终端相关端口

其次，用户在没有漏洞补丁的情况下，根据各自操作系统类型不同，通过DOS命令窗口或加设出入站规则禁止漏洞端口使用。如图1所示。

上图为开放了445端口的终端，从图中可以看出445端口处于监听状态。

关闭TCP和UDP相关的135和445端口如下图。

4.2.1 win7/win8/win10用户可以进入如下操作

“控制面板”→“系统和安全”→“Windows防火墙”→“打开或关闭Windows防火墙”→勾选“启用Windows防火墙”。返回到“Windows防火墙”→“高级设置”→点击“入站规则”→“新建规则”→要创建的规则类型选择“端口”→“下一步”→ 选择“TCP”协议→特定本地端口填入“445”→下一步→选择“阻止连接”→直接下一步→名称和描述可以任意输入完成退出即可。

4.2.2 winxp、windows server用户临时解决方案

“控制面板”→“Windows防火墙”→点击：“启动”endprint

另外可通过 “cmd”→“net stop srv”、“net stop rdr”、“net stop netbt”三条来关闭相关的网络服务。

4.3 更新系统漏洞补丁

接着，也是最根本的就是要更新漏洞补丁，只有把漏洞补丁打上了，才能从根本上阻止漏洞的攻击，还不影响用户用网。众所周知，通过端口，我们可以轻松访问各种共享文件或共享打印。因为前面所作的封堵端口的同时，也限制了终端的使用。例如caj浏览器在关闭了server服务之后，无法使用，安装、卸载均不可进行。

5 这次病毒处理暴露出的问题

5.1 不安装安全软件

这是很多用户的通病，认为安装杀毒软件会拖慢计算机速度，有的安装了杀毒软件，也不及时更新，特别是内网用户，互联网用户还好些，一般都是自动更新病毒库，内网用户杀毒软件病毒库老旧，针对新型病毒也无能为力。

5.2 不及时打补丁

系统漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，是不可避免的，既然不可避免，就有可能被黑客或病毒利用，而补丁是用来修正操作系统漏洞的，一般在发现操作系统有安全隐患的时候，开发系统的公司会及时发布补丁（也就是修正了漏洞的）文件，安装后一般会替换掉现有的有漏洞的文件，以修正 系统的运行问题，或避免某些人借漏洞制造病毒或黑客软件、传播、损害电脑系统，或窃取资料等。除了非专业人员外，相当一部分用户的电脑系统更新都是选择从不，这就意味着从不给系统打补丁，在这次应对永恒之蓝病毒过程中，就发现这种情况，结果一点系统更新，一百多个更新，有的甚至还有12、13年的补丁需要打。为什么会出现这种情况？因为系统更新一般都是在开关机时进行，用户觉得耽搁时间，所以就停止更新。有的索性设置从不更新，一了百了。这样总有一天，你的电脑也会因为你的“一了百了”而“一无所有”。

5.3 不开启防火墙

相当一部分用户自认为系统自带防火墙没用，就是个鸡肋，有时还会影响计算机某些功能的使用，直接关闭系统孩火墙。又重新安装安全软件所带的防火墙。这种认识是舍近求远，甚至是错误的。系统在开发时自带的防火墙，肯定是用来保护操作系统不受侵害，所以每当你安装一款新的软件，它都会提示你存在风险，有的人就嫌这个功能太繁琐，所以就直接关闭防火墙。其实不然，系统防火墙是能阻止计算机病毒进入你的计算机，在你进行某些连接时进行询问，对于不必要或认为是危险的链接，就会阻止。还可以创建安全日志，用于记录成功的连接和不成功的连接，此日志可以作为排队故障的工具。可是现在有相当一部分人，不用WINDOWS自带防火墙，甚至你上百度搜索，系统防火墙，搜到的全是如何关闭系统自带防火墙。也无外乎这么多人都不开启系统防火墙了。

5.4 设备老旧

许多单位现在还用的XP系统，xp系统从2001年到2014年已经使用相当长一段时间，2014年微软就已经发表声明，不会再对XP系统进行系统更新，可是相当多的用户仍抱着XP系统不放，觉得用惯了，好用，加之许多应用系统也是基于XP系统开发的，就更不愿意更换高版本的操作系统了。这样系统根本无法得到更新，怎能不给病毒以可乘之机。

5.5 打补丁时间设置不合理

不可否认打开系统自动更新后，每次总是在系统开机或关机时进行补丁更新，这样很麻烦，影响用户使用。所以用户就关闭系统更新。其实你可以不关闭更新，根据自己时间空闲与否，选择是否下载或安装更新。如图3所示。

6 关于方程式组织及影子经纪人

这次病毒爆发，不得不提到美国国家安全局（NSA）与方程式组织（Equation Group）。方程式组织与美国国家安全局关系暧昧，是一个美国国家安全局（NSA） “不愿承认的”部门，这在黑客圈基本不是什么秘密。据说，方程式组织是美国国家安全局下面专门负责网络攻击的机构，属于美国国家安全局的一个分支。方程式组织的技术、手段，比其他黑客组织知的技术更复杂、更成熟。因为有国家背景，该组织非常庞大，攻击水平极其高明。近些年来，他们向全世界释放了多种破坏性很强的病毒，例如震网、火焰病毒等。作为史上最强的网络攻击组织，拥有一个庞大而强悍的攻击武器库是方程式组织必不可少的。永恒之蓝和永恒之石都是一个叫影子经济人的黑客组织，攻击了方程式组织，窃取了美国国家安全局平时使用的网络武器、源代码等资料，永恒之蓝 （Wanna Crypt）就是一个勒索蠕虫病毒，利用Windows SMB漏洞攻击网络计算机，植入病毒，运行并加密用户文件，从而勒索赎金。

7 结束语

美国国家安全局专门成立方程式组织，旨在时刻准备着搞网络病毒攻击，我们目前使用的操作系统又大都是wondows系统，由微软公司研发，为了国家安全利益，微软留后门是可想而知的。如果真正的网络信息战打响，方程式组织对我军是一个致命的威胁。所以，一方面我们的网络部队要想好相关應对之策，另一方面，广大局域网用户一定要养成良好的上网习惯，安装杀毒软件并及时更新病毒库，定期查杀病毒；开启系统防火墙，即使不开启系统自带的防火墙及系统更新，也要自己安装第三方软件进行漏洞修补，这样，类似永恒之蓝的病毒才不会有可乘之机，我们才能真正享受网络带来地便捷而不是整天提心吊胆的使用网络。endprint