一、勒索病毒-永恒之藍現狀簡介

2017年5月12日20時左右，國家網絡與信息安全信息中心緊急通報：新型病毒從5月12日起在全球範圍傳播擴散，已影響到包括我國用戶在內的多個國家的用戶。該勒索病毒利用Windows操作系統445端口存在的漏洞進行傳播，並具有自我復制、主動傳播的特性。勒索病毒感染用戶計算機後，將對計算機中的文檔、圖片等實施高強度加密，並向用戶勒索贖金。

國內多所院校和企業出現ONION勒索軟件感染情況，磁盤文件會被病毒加密為.onion後綴，只有支付高額贖金才能解密恢復文件，對學習資料和個人數據造成嚴重損失。

國家網絡與信息安全中心連接：

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

二、中毒原因分析

1、135/137/138/139/445這些常用端口以及共享服務沒有關閉；

端口簡介：

135端口：135端口就是RPC通信中的橋梁，該端口被攻擊者采用了一種DCOM技術，可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術與對方計算機進行通信時，會自動調用目標主機中的

137端口：137端口的主要作用是在局域網中提供計算機的名字或IP地址查詢服務，一般安裝了NetBIOS協議後，該端口會自動處於開放狀態。

要是非法入侵者知道目標主機的IP地址，並向該地址的137端口發送一個連接請求時，就可能獲得目標主機的相關名稱信息。例如目標主機的計算機名稱，註冊該目標主機的用戶信息，目標主機本次開機、關機時間等。

138端口：138端口都屬於UDP端口，主要作用就是提供NetBIOS環境下的計算機名瀏覽功能。

非法入侵者要是與目標主機的138端口建立連接請求的話，就能輕松獲得目標主機所處的局域網網絡名稱以及目標主機的計算機名稱。有了計算機名稱，其對應的

139端口：139端口是一種TCP端口，主要作用是通過網上鄰居訪問局域網中的共享文件或共享打印機。

黑客要是與目標主機的139端口建立連接的話，就很有可能瀏覽到指定網段內所有工作站中的全部共享信息，甚至可以對目標主機中的共享文件夾進行各種編輯、刪除*作，倘若攻擊者還知道目標主機的IP地址和登錄帳號的話，還能輕而易舉地查看到目標主機中的隱藏共享信息。

445端口：是一種TCP端口，功能與139端口幾乎一致，也是提供局域網中文件或打印機共享服務。

區別就是該端口是基於CIFS協議（通用因特網文件系統協議）工作的，而139端口是基於SMB協議（服務器協議族）對外提供共享服務，所以要關閉文件共享，那麽需要同時關閉139和445端口。

2、個人網絡安全意識淡漠（不明鏈接不要點擊，不明文件不要下載，不明網站不要訪問）；

3、沒有定期跨本機以外其他渠道備份文檔的習慣（比如移動硬盤，網盤等備份渠道）；

• 病毒防範與避免：

• 公司技術防護層面：

a、出口防火墻上禁止135/137/138/139/445端口，隔絕內部與外部的端口開放；

b、交換機上禁止135/137/138/139/445端口，隔絕內部這些高危端口互通；

c、行為管理上禁止135/137/138/139/445端口，隔絕內部這些高危端口互通；

d、IT部制定員工本機關閉135/137/138/139/445端口的腳本，避免員工感染並傳播；

e、IT部將windows核心數據，跨機器渠道保存；

f、增強員工的安全防範意識的宣導力度；

3.2 員工防護層面：

a、及時升級Windows操作系統，目前微軟公司已發布相關補丁程序MS17-010，可通過微軟公司正規渠道進行升級。

b、安裝並及時更新殺毒軟件。

c、不要輕易打開來源不明的電子郵件。

d、及時關閉計算機、網絡設備上的445端口。

e、定期在不同的存儲介質上備份計算機上的重要文件。

f、養成良好的網絡瀏覽習慣。不要輕易下載和運行未知網頁上的軟件，減少計算機被入侵的可能。

g、使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞，並關閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

針對目前刷爆整個網絡的勒索病毒，我看到網上有很多人在指點怎麽防禦，但是很多人還是不一定能看明白具體怎麽操作，我寫了兩個簡單粗暴的一鍵執行的腳本，大家有需要的可以找我，免費使用。

一鍵關閉危險端口和服務：

@echo off

color 0A

title 您正在使用一鍵屏蔽危險端口和服務

echo 您正在使用一鍵屏蔽危險端口和服務

echo “Powered by情感iT人--高哥制作，歡迎使用，按任意鍵繼續”

pause

echo"正在幫您關閉這些危險端口，請稍等"

echo “正在開啟防火墻服務”

net startMpsSvc

echo ”正在幫您開啟防火墻自啟動“

sc configMpsSvc start= auto

echo ”正在啟用防火墻“

netshadvfirewall set allprofiles state on

echo"正在幫您屏蔽端口，請稍後...."

netshadvfirewall firewall add rule name="deny udp 135 " dir=in protocol=udplocalport=135 action=block

pause

netshadvfirewall firewall add rule name="deny tcp 135" dir=in protocol=tcplocalport=135 action=block

netshadvfirewall firewall add rule name="deny udp 137 " dir=inprotocol=udp localport=137 action=block

netshadvfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcplocalport=137 action=block

netshadvfirewall firewall add rule name="deny udp 138" dir=in protocol=udplocalport=138 action=block

netshadvfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcplocalport=138 action=block

netshadvfirewall firewall add rule name="deny udp 139" dir=in protocol=udplocalport=139 action=block

netshadvfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcplocalport=139 action=block

netshadvfirewall firewall add rule name="deny udp 445" dir=in protocol=udplocalport=445 action=block

netshadvfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcplocalport=445 action=block

echo"恭喜您，危險端口已經屏蔽成功"

echo"下面將幫您關閉勒索病毒相關的危險服務，請稍後...."

echo ”正在關閉Computer Browser的服務“

netstop Browser

echo ”正在關閉共享服務的服務“

netstop LanmanServer

echo ”TCP/IP NetBIOS Helper共享服務“

net stoplmhosts

echo ”正在關閉Workstation瀏覽服務“

net stopLanmanWorkstation

echo"恭喜您，危險端口已經關閉，請您盡快使用360的nsatool工具進行漏洞圍堵，然後再執行一鍵服務和端口的開啟腳本"

echo “Powered by情感iT人--高哥制作，感謝您的使用，按任意鍵退出 ”

pause

一鍵開啟共享端口和服務：

@echo off

color 0A

title 正在開啟之前關閉的危險端口和服務

echo title您正在使用一鍵關閉危險端口和服務

echo “Powered by情感iT人--高哥制作，歡迎使用，按任意鍵繼續”

pause

echo"正在幫您開啟之前關閉的危險端口，請稍等"

echo “正在開啟防火墻服務”

net startMpsSvc

echo ”開啟防火墻自啟動“

sc configMpsSvc start= auto

echo ”啟用防火墻“

netshadvfirewall set allprofiles state on

echo"正在幫您解禁勒索病毒相關的防火墻規則"

netshadvfirewall firewall delete rule name="deny udp 135 "

netshadvfirewall firewall delete rule name="deny tcp 135"

netshadvfirewall firewall delete rule name="deny udp 137 "

netshadvfirewall firewall delete rule name="deny tcp 137"

netshadvfirewall firewall delete rule name="deny udp 138"

netshadvfirewall firewall delete rule name="deny tcp 138"

netshadvfirewall firewall delete rule name="deny udp 139"

netshadvfirewall firewall delete rule name="deny tcp 139"

netshadvfirewall firewall delete rule name="deny udp 445"

netshadvfirewall firewall delete rule name="deny tcp 445"

echo"恭喜您，共享服務的端口已經打開"

echo"下面將幫您開啟共享的服務"

echo ”正在開啟Computer Browser的服務“

netstart Browser

echo ”正在開啟共享服務的服務“

netstart LanmanServer

echo ”TCP/IP NetBIOS Helper共享服務“

net startlmhosts

echo ”正在開啟Workstation瀏覽服務“

net startLanmanWorkstation

echo"恭喜您，相關服務已經全部啟動"

echo “Powered by情感iT人--高哥制作，感謝您的使用，按任意鍵退出”

echo 按任意鍵退出

pause>nul

本文出自 “追求IT網絡技術的最高..” 博客，請務必保留此出處http://zhaogao.blog.51cto.com/205189/1925626

一鍵屏蔽135、137、138、139、445危險端口和服務