1

——

上周全球最轰动的事件，莫过于WannaCrypt蠕虫病毒的蔓延

上周五起（美国时间 5 月 12 日，北京时间凌晨），从英国和西班牙开始，恶意软件 WannaCrypt 迅速蔓延到全球，该病毒阻止客户访问自己的数据，除非用户以比特币方式支付赎金。

WannaCrypt 利用了从美国国家安全局（NSA）窃取的漏洞利用工具进行攻击。媒体从病毒爆发时到如今持续报道，一时成为焦点和热点，各安全厂商股票纷纷涨停，袋鼠云一家关系民生，关系社会治安的政府客户，也不幸遭受此次病毒重创，数据丢失，系统瘫痪。

WannaCry也被称为WannaCrypt / WannaCrypt0r，此病毒文件的大小3.3MB，是一款蠕虫勒索式恶意软件，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

除 Windows 10系统外，所有未及时安装 MS17-010补丁的 Windows系统都可能被攻击。WannaCry通过 MS17-010漏洞进行快速感染和扩散，使用 RSA加密算法对文件进行加密，删除原文件，阻止客户访问自己的数据，除非用户以比特币方式支付赎金。

一旦某个电脑被感染，同一网络内存在漏洞的主机都会被它主动攻击，因此受感染的主机数量迅速蔓延。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。

2

——

对WannaCrypt蠕虫病毒，唯“快”不破

我们都知道RSA加密几乎不可能被破击，所以唯有快速出击，回应，及时止损和系统维护，做好安全防范措施，避免更大影响。

作为处在一线的战斗方，从病毒爆发起，我们就快速响应，全力协调工程师资源和采取措施进行抢救，在写这篇文章之前，袋鼠云已经和自己的客户并肩奋斗了84个小时，尽最大努力将病毒控制，防止进一步的感染或传播。

到周日上午9时，虽然病毒蔓延已经基本被控制住，但我们仍然要为客户业务系统的恢复继续战斗。

袋鼠云和客户全力狙击WannaCry 2.0工作表

5月13日

防御

已完成

5月14日

防御、加固

已完成

5月15日

加固

已完成

5月16日

加固

阶段性胜利

5月17日

业务系统恢复

恢复中

···

业务系统恢复

恢复中

在此，袋鼠云非常感谢战斗在一线的工程师们、安全专家们、开发商、合作伙伴们，大家辛苦了，因为大家的坚持和努力，这次病毒事件我们扛住了，更没有要了我们的命。

而对于和我们战斗在一线的客户，我们谢谢大家的支持和信任，袋鼠云不会逃避困难，对于客户的合理需求，我们都全力以赴。

3

——

5月13日，5月14日

与阿里云合作伙伴一起，我们在采取了如下防御措施

1、在网络和安全这层，对于每台Windows服务器的445、139端口的入方向进行隔离操作

2、对健康未感染的Windows 服务器的IP安全策略实施445、139入方向禁止操作

3、对于感染的Windows服务器进行关机，避免正常数据文件被加密

4、安装MS17-010系统补丁、多渠道通知，公布官方MS17-010补丁链接

5、安装免疫防护工具

6、检查服务器的账号密码，修改为强口令密码并定期更新密码

7、向用户发布疫情信息，要求办公电脑采取防御措施，提供合理的方法，避免周一上班二次病毒爆发

8、建议安装防病毒软件、杀毒软件，推荐MSE(Microsoft Security Essentials)、企业版卡巴斯基、诺顿等

4

——

5月14日、5月15日、5月16日

后续的防御和加固措施

如下：

1、搭建http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 服务器查找感染，防止传播；

2、在网络和安全这层，对于每台Windows服务器禁止135、137端口入方向访问

3、对健康未感染的Windows 服务器的IP安全策略实施禁止135、137入方向访问

4、发现服务器会对外请求445端口，在网络、安全、服务器禁止445、135、137、139的出方向，阻隔病毒传播。

5、做好系统快照和系统备份

5

——

接下来1-2周，工作重心转向业务系统的恢复

1、为受灾的业务系统申请ECS资源，重新搭建业务系统进行恢复

2、对于感染的数据库，采用数据备份恢复，或尝试抢救恢复数据，方式是数据盘做快照备份后，采用部分安全厂商数据恢复工具尝试恢复数据。

3、对于健康服务器做快照备份，数据库做好数据备份和容灾

6

——

道阻且长，袋鼠宝宝们仍将上下而求索

基于这次勒索病毒事件，颠覆了我们专网比公网安全的认知，袋鼠云也对以往工作进行了总结和反思：

1、对于所有系统，做好补丁升级工作，推动局方搭建WSUS（Windows Server Update Services）和Yum Server，做好内网系统的补丁升级

2、按安全等保要求，对整个系统平台进行安全加固，