永恒之蓝 蠕虫病毒解决方法

永恒之蓝360处置方案近年来，网络攻击事件层出不穷。

其中最让人印象深刻的莫过于2017年全球著名勒索软件WannaCry病毒爆发。

它利用了NSA利用的漏洞——永恒之蓝，通过在网络中寻找可感染的计算机，加密受害人的文件并勒索赎金。

针对此次攻击事件，360公司发起了相关处置方案，并成功抵抗了攻击。

下面将从360公司的角度介绍他们是如何应对此次全球性网络攻击事件的。

永恒之蓝简介永恒之蓝是一个Windows Server消息块(SMB)漏洞的代码名，其主要影响操作系统是Windows XP、Windows 7和Windows Server 2003，可以被用于攻击未应用Microsoft修补程序安全更新的服务器或计算机。

永恒之蓝利用了Windows内核中的漏洞，可以在没有受害者干预的情况下远程攻击并获取系统权限。

漏洞会通过传输控制协议(TCP)/网络协议版本6( IPv6)连接进行攻击。

360不断研究并制定新的规则360公司不断进行永恒之蓝漏洞的研究，从其攻击数据中分析出漏洞的特征，并根据分析结果制定出针对不同类型永恒之蓝漏洞攻击的规则。

这些规则在永恒之蓝病毒最初爆发时可能并不会被所有的计算机系统所使用，但在360公司开发的防病毒软件中已经集成。

因此，这样的规则将很普遍地防止永恒之蓝病毒的攻击。

与全球防病毒行业合作360公司是全球最大的防病毒公司之一，与全球其他许多防病毒公司（如卡巴斯基、趋势微软、麦克风、McAfee等）保持良好的合作关系。

这就意味着360公司在全球范围内都在积极配合着其他防病毒公司应对永恒之蓝攻击事件，这有助于为用户提供更全面的防护、更高效的解决方案。

及时更新补丁和安全软件最重要的避免永恒之蓝攻击的方法之一就是及时更新安装补丁和安全软件。

当微软在2017年3月发布了Windows XP、Windows 7和Windows Server 2003的安全修补程序时，360公司推动用户及时更新，减小被攻击的概率。

勒索病毒永恒之蓝处理的方法勒索病毒永恒之蓝已经被攻破，具体的处理方法是怎样的呢?以下是小编acefouder为大家整理的勒索病毒永恒之蓝处理的方法，欢迎大家阅读。

勒索病毒office恢复工具下载勒索病毒处理方法5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。

《通知》指出，有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。

该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知各有关单位：有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。

该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

一、请立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

中国分布情况：
957976
297671249338
169138155911140015
88294864036483161400
5月13日6时5月13日15时5月13日19时5月14日5时5月12日18时浙江、广州、深圳、北京，陆续开始接到应急响应任务全球威胁态势报告应急响应指导手册安恒全线产品升级WannaCry 勒索蠕虫威胁情报收集平台公司及应急响应中心病毒样本汇总及应急案例手册完成安恒专项检测工具0.1勒索软件加固工具0.1WannaCry 勒索蠕虫FAQ 安恒专项检测工GUI 版本勒索软件加固工具GUI 周一开机指南
5月14日18时
➢单日千次电话应急➢十一份专项报告提供➢两个专用工具推出➢百万次下载量超过
➢全线产品全面升级
一键式检测、加固专业深度检测、分析：
2017年5月14日2017年5月16日
2017年5月14日2017年5月16日。

针对“永恒之蓝”攻击应急方案（蠕虫WannaCry）2017 年05 月13 日第1章隔离网主机应急处置操作指南首先确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面：如果主机已被感染：则将该主机隔离或断网（拔网线）。

若客户存在该主机备份，则启动备份恢复程序。

如果主机未被感染：则存在四种方式进行防护，均可以避免主机被感染。

针对未感染主机，方式二是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一效率最高。

从响应效率和质量上，360建议首先采用方式一进行抑制，再采用方式二进行根除。

第 3 页共23 页方式一：启用快速免疫工具360勒索(永恒之蓝、之石)免疫工具,免疫工具的下载地址（注内含封445端口）：https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e 5%8b%92%e7%b4%a2(%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8 b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip采用快速处置方式，建议使用360安全卫士的“NSA武器库免疫工具”，可一键检测修复漏洞、关闭高风险服务，包括精准检测出NSA武器库使用的漏洞是否已经修复，并提示用户安装相应的补丁。

针对XP、2003等无补丁的系统版本用户，防御工具能够帮助用户关闭存在高危风险的服务，从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。

NSA武器库免疫工具下载地址：/nsa/nsatool.exe方式二：针对主机进行补丁升级请参考紧急处置工具包相关目录并安装MS17-010补丁，2008服务器版补丁下载地址：https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/windo方式三：关闭445端口相关服务点击开始菜单，运行，cmd，确认。

防范和遏制EternalBlue病毒攻击指南防范和遏制Eternal Blue病毒攻击指南针对最新发生的大规模黑客“EternalBlue”病毒攻击网络事件，5月13日，北京市委网信办、北京市公安局和北京市经济和信息化委员会联合发布防范和遏制“Eternal Blue”病毒攻击指南。

一、微软已经发布相关的补丁 MS17-010 用以修复被“ Eternal Blue” 攻击的系统漏洞，请尽快安装此安全补丁，网址为https:///zh-cn/library/security/MS17-010。

对于 windows XP、Windows 2003 等更加久远的系统，微软则不再提供安全补丁，请通过关闭端口的方式进行防护。

在Windows 电脑上运行系统自带的免费杀毒软件并启用Windows Updates 的'用户可以免受这次病毒的攻击。

Windows 10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新，同时可以通过设置-Windows Defender，打开安全中心。

二、关闭135、137、138、139、445端口，关闭网络共享也可以避免中招。

’(一)方法1、运行输入“dcomcnfg”;2、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”;3、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾;4、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

(二)关闭 135、137、138 端口在网络邻居上点右键选属性，在新建好的连接上点右键选属性再选择网络选项卡，去掉Microsoft 网络的文件和打印机共享，以及Microsoft 网络客户端的复选框。

这样就关闭了共享端135 、137、138端口。

(三)关闭 139 端口139 端口是NetBIOSSession 端口，用来文件和打印共享。

针对“永恒之蓝”蠕虫勒索病毒客户端处理办法一、XP1、立刻安装补丁。

下载地址：ftp://172.21.133.15/紧急补丁/XP-kb4012598-x86.exe2、如果补丁打不上，则运行以下命令，关闭所有共享：net stop rdrnet stop srvnet stop netbtsc config rdr start= DISABLEDsc config srv start= DISABLEDsc config netbt start= DISABLED二、Windows 20031、立刻安装补丁。

下载地址：ftp://172.21.133.15/紧急补丁/2003-kb4012598-x86.exe （32位版）下载地址：ftp://172.21.133.15/紧急补丁/2003-kb4012598-x64.exe （64位版）2、如果补丁打不上，则运行以下命令，关闭所有共享：net stop rdrnet stop srvnet stop netbtsc config rdr start= DISABLEDsc config srv start= DISABLEDsc config netbt start= DISABLED三、Windows 71、立刻安装补丁。

下载地址：ftp://172.21.133.15/紧急补丁/ Windows7-kb4012215-x86.msu （32位版）下载地址：ftp://172.21.133.15/紧急补丁/ Windows7-kb4012215-x64.msu （64位版）2、如果补丁打不上，则运行以下命令，关闭所有共享：sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsisc.exe config mrxsmb10 start= disabledsc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsisc.exe config mrxsmb20 start= disabled四、Windows 2008R21、立刻安装补丁。

《“永恒之蓝”勒索蠕虫最全知识手册》你该知道的都在这里！《“永恒之蓝”勒索蠕虫最全知识手册》2017-05-14 360企业安全今天，你一开机可能就不得不损失300美元！今天，你一开机所有文件将被加密无法读取！What？2017 年5 月12 日，“永恒之蓝”勒索蠕虫爆发，短短几小时，攻击了中国、英国、美国、德国、日本等近百个国家，至少1600 家美国组织，11200 家俄罗斯组织都受到了攻击，截至到5月13日20点，国内也有29372家机构组织的数十万台机器感染，其中有教育科研机构4341家中招，是此次事件的重灾区，事件影响持续发酵中。

什么是“永恒之蓝”勒索蠕虫？中了“永恒之蓝”勒索蠕虫如何紧急处置？。

针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题360企业安全专家进行专业解答，集成《“永恒之蓝”勒索蠕虫最全知识手册》。

关于“永恒之蓝”勒索蠕虫，你该知道的都在这里▌1. 什么是蠕虫病毒？答：蠕虫病毒是一种常见的计算机病毒，它的主要特点是利用电脑存在的漏洞，通过网络进行自主的复制和传播，只要一释放出来，就会在无人干预的情况下以指数级快速扩散。

▌2. 这个病毒到底什么原理？答：这个病毒是勒索软件和蠕虫病毒的合体，利用了Windows操作系统的一个漏洞，投送勒索软件到受害主机。

在有蠕虫的环境中，有漏洞的用户电脑只要开机就会很快被感染，不需要任何用户操作，并且被感染的受害主机还会对其他主机发起同样的攻击，所以传播速度极快。

▌3.中了这个病毒会有什么危害？答：受害主机中招后，病毒就会在受害主机中植入勒索程序，硬盘中存储的文件将会被加密无法读取，勒索蠕虫病毒将要求受害者支付价值300/600美元的比特币才能解锁，而且越往后可能要求的赎金越多，不能按时支付赎金的系统会被销毁数据。

▌4. 这个病毒为什么影响这么严重？答：本次事件被认为是迄今为止影响面最大的勒索交费恶意活动事件，一旦受害主机存在被该病毒利用的漏洞，在连接网络的情况下，即使不做任何操作，病毒就会在受害主机中植入勒索程序，此外，由于其属于蠕虫病毒，具有自我复制、传播的特性，因此扩散速度极快。

互联网运营商如何应对永恒之蓝病毒互联网运营商如何应对永恒之蓝病毒互联网运营商如何应对永恒之蓝病毒据防毒软件公司Avast Software公布的数字，已在全球99个国家侦测到超过75000宗WanaCrypt0r 2.0(又名 WannaCry)的攻击个案，而在Kaspersky安全研究及分析团队侦测到的45000 宗攻击个案中，中国属前十位攻击分布最高的国家及地区。

被攻击对象不乏大型企业及政府机构，如英国国家卫生事务局(NHS)旗下多家医院、俄罗斯内政部，西班牙电信Telefonica也惨遭受害。

这次肆虐全球的WanaCrypt0r 2.0一如以往勒索软件的运作模式，当电脑被感染后，所有文档均被加密成名为 .WNCRY的格式，无法正常读取，且会弹出指示，勒索受害者在3天内交付价值300美元的比特币赎金，逾期加倍，若在7天内未支付则无法恢复文档。

该勒索病毒界面包括简繁中文在内的28种不同语言，明显针对全球各国用户。

更有网友戏称现在勒索病毒都有官方汉化版，有些游戏软件应该好好学学了。

有别于以往通过钓鱼邮件感染的方式，不少受害者在网上称在正常使用电脑的.情况下突然弹出勒索界面。

据了解WanaCrypt0r 2.0是通过Windows系统内名为EternalBlue(永恒之蓝)的Windows SMB远端执行程序弱点进行攻击。

去年黑客团队Shadow Brokers曾声称成功入侵美国国家安全局(NSA)旗下的秘密网络攻击组织Equation Group，并取得各种攻击工具。

其中就涉及众多尚未透露的产品漏洞，被指可用于攻击、入侵除Windows 10及Windows Server 2016以外，Windows XP 至 Windows 8 及其各自对应的服务器版本系统，其中就包括 EternalBlue(永恒之蓝)、EmeraldThread等多个漏洞。

而微软亦已于今年3月针对 Windows SMB Server的安全性更新(MS17-010)，修复相关安全漏洞。

“永恒之蓝”勒索蠕虫最全知识手册2017 年 5 月 12 日，“永恒之蓝”勒索蠕虫爆发，短短几小时，攻击了中国、英国、美国、德国、日本等近百个国家，至少 1600 家美国组织，11200 家俄罗斯组织都受到了攻击，截至到5月13日20点，国内也有29372家机构组织的数十万台机器感染，其中有教育科研机构4341家中招，是此次事件的重灾区，事件影响持续发酵中。

什么是“永恒之蓝”勒索蠕虫？中了“永恒之蓝”勒索蠕虫如何紧急处置？。

针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题360企业安全专家进行专业解答，集成《“永恒之蓝”勒索蠕虫最全知识手册》关于“永恒之蓝”勒索蠕虫，你该知道的都在这里！1. 什么是蠕虫病毒？答：蠕虫病毒是一种常见的计算机病毒，它的主要特点是利用电脑存在的漏洞，通过网络进行自主的复制和传播，只要一释放出来，就会在无人干预的情况下以指数级快速扩散。

2. 这个病毒到底什么原理？答：这个病毒是勒索软件和蠕虫病毒的合体，利用了Windows操作系统的一个漏洞，投送勒索软件到受害主机。

在有蠕虫的环境中，有漏洞的用户电脑只要开机就会很快被感染，不需要任何用户操作，并且被感染的受害主机还会对其他主机发起同样的攻击，所以传播速度极快。

3. 中了这个病毒会有什么危害？答：受害主机中招后，病毒就会在受害主机中植入勒索程序，硬盘中存储的文件将会被加密无法读取，勒索蠕虫病毒将要求受害者支付价值300/600美元的比特币才能解锁，而且越往后可能要求的赎金越多，不能按时支付赎金的系统会被销毁数据。

4. 这个病毒为什么影响这么严重？答：本次事件被认为是迄今为止影响面最大的勒索交费恶意活动事件，一旦受害主机存在被该病毒利用的漏洞，在连接网络的情况下，即使不做任何操作，病毒就会在受害主机中植入勒索程序，此外，由于其属于蠕虫病毒，具有自我复制、传播的特性，因此扩散速度极快。

据360统计，短短一天多的时间，病毒已经攻击了近百个国家的上千家企业和公共组织，包括至少1600家美国组织，11200家俄罗斯组织和28388个中国机构，全球超过10万家机构中招。

预防新型勒索病毒“永恒之蓝”的方法预防新型勒索病毒“永恒之蓝”的方法导语：勒索病毒主要是利用Windows的445端口传播，该端口在Windows主要是提供局域网中文件或打印机共享服务。

以下是小编收集的有关电脑安全的知识，希望对您有所帮助。

由于这个勒索蠕虫病毒的发展速度迅猛，不仅在世界范围内造成了极大的危害，对我国的很多行业网络也造成极大影响，目前已知遭受攻击的行业包括教育、石油、交通、公安等，中国校园网络也成为重灾区，不少高校的学生打开自己的电脑后，发现系统内的各种文档文件都被锁定了，而屏幕正中出现的红色弹窗则提示：如果想要“解锁”被加密的文件，请支付300美金或者等值比特币，如果超过三天未支付，价格翻倍;如果超过一周未支付则文件会被永远清除。

那么，对于用户来说，如何预防这种新型的勒索病毒，使得自己的.文档不受影响呢?方法其实很简单：1、更新最新的系统补丁给操作系统安装补丁的重要性是不言而喻的，这也是保证操作系统安全的最基本的方法，Windows操作系统的Windows Update具有检测更新和安装更新的功能，我们只要将这个功能设置为自动检查更新，Windows Update就可以自动下载系统的已知漏洞的修补程序并安装。

系统会在后台下载，完成后通知你下载完成并询问是否开始安装，用起来十分方便。

在安装了所有的补丁程序后，可以有效的保证操作系统的安全运行。

2、使用云服务备份数据这次事件也显示出云服务和数据备份的重要性，普通要想实时备份自己的用户数据，通过自己手动备份既不现实也不方便，使用云服务就可以实时备份自己的重要数据。

例如，对于Office文档等文件，使用Dropbox等云存储网盘就可以备份重要数据，一旦数据被病毒加密破坏，可以立刻从网盘历史记录里还原正确的文件，从而避免数据丢失。

如果要使用其他类型的网盘，需要注意的是，网盘应该具有版本控制的功能，否则就无法实现数据的历史记录还原。

3、屏蔽端口因为该勒索病毒是通过入侵端口传播，现在主要是445端口，因此对比普通用户来说，可以通过屏蔽445端口来有效预防勒索病毒，特别是对于Windows XP和Windows 2003等老版本的Windows用户。

防御永恒之蓝及查杀方法
永恒之蓝在全球感染的电脑数量粗略攻击20万余台，国内正在被感染，特别是校园网、企业及事业单位的办公电脑，也就是说有办公文档使用需求的，永恒之蓝病毒*文档，打开文档要付费300美元，这是猖狂至极。

永恒之蓝采用445共享端口扫描方式，利用微软漏洞，将木马病毒传播到电脑中，445端口在国内的电脑中基本都是没有关闭的，特别是教育网已经被永恒之蓝狙击。

想要做好永恒之蓝的防御不是不可能，小编今天就来说下防御永恒之蓝及查杀它的方法。

防御：
本次永恒之蓝病毒主要是利用微软的漏洞，本漏洞在系统共享服务中，此漏洞的特点是适合局域网内蔓延，利用局域网打印机共享对其他机器感染传播，那么没有必要开启此类服务的机器就将其关闭。

右键我的电脑，选择管理。

点击服务和应用程序。

点击服务。

找到Server。

右键属*。

启动类型处选择禁用。

另外还需关闭445端口，关闭此端口可以防止该病毒利用端口入侵。

也可以使用Windows系统自带的更新程序进行补丁更新。

已中招：
如果您不慎已经中毒，那么建议您使用360或腾讯电脑管家专门针对永恒之蓝勒索病毒开发的查杀工具
总结：
永恒之蓝勒索病毒的全球感染已经汹涌来袭，如果不做好防御，也许下一个中招的就是自己了，最重要的是电脑文档的安全*，如果一旦感染，不可能格式硬盘吧，也不可能交钱吧，所以希望本篇文章对大家用帮助。

勒索病毒应急自救手册作者美创科技安全实验室一、背景自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对企事业单位等各类组织直接威胁最大的一类木马病毒。

勒索病毒通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。

机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。

二、勒索病毒中毒特征勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。

所以，勒索病毒有明显区别于一般病毒的典型特征。

如果服务器出现了以下特征，即表明已经中了勒索病毒。

1.业务系统无法访问勒索病毒的攻击不再局限于加密核心业务文件；转而对企业的服务器和业务系统进行攻击，感染企业的关键系统，破坏企业的日常运营。

2.电脑桌面被篡改服务器被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，如下图：服务器感染勒索病毒后，另外一个典型特征是：办公文档、照片、视频等文件的图标变为不可打开形式，或者文件后缀名被篡改，并且使得文件无法正常打开。

三、自救措施✦正确处置方法(一)隔离中招主机当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段。

①物理隔离物理隔离常用的操作方法是断网和关机。

断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

②访问控制a.避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上，并关闭445、139、135等不必要的端口。

b.将服务器密码修改为高强度的复杂密码。

隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。

永恒之蓝防御方法
永恒之蓝是一种针对Microsoft Windows操作系统的漏洞利用技术，它可以让黑客利用此漏洞入侵计算机系统。

为了保护您的系统免受此漏洞的威胁，以下是一些防御永恒之蓝攻击的方法：
1. 及时更新您的操作系统。

Microsoft已经发布了补丁修复了此漏洞，所以请确保您的系统上安装了最新的补丁和升级。

2.使用防病毒软件。

防病毒软件可以帮助检测和防止恶意软件感染您的系统，包括永恒之蓝攻击。

3. 使用防火墙。

防火墙可以阻止不明来路的攻击者进入您的系统，这对于防止永恒之蓝攻击也很有效。

4. 限制权限。

管理员账户具有最高权限，黑客可以很容易地入侵您的系统。

因此，应该为不同的用户分配不同的权限。

5. 使用加密技术。

加密可以帮助保护您的数据，即使黑客入侵系统，他们也无法轻易地获得您的敏感信息。

总之，永恒之蓝是一个可怕的漏洞，但通过采取适当的预防措施，您可以有效地避免它的攻击。

政企机构“永恒之蓝”勒索蠕虫应急响应调研分析报告360威胁情报中心360安全监测与响应中心2017.7目录背景介绍 (1)一、Wannacry渗透内网原因分析 (1)（一）一机双网缺乏有效管理 (1)（二）缺陷设备被带出办公区 (2)（三）协同办公网络未全隔离 (2)（四）防火墙未关闭445端口 (3)（五）办公网与生活网未隔离 (3)（六）外网设备分散无人管理 (3)二、中招企业现存典型问题分析 (3)（一）意识问题 (3)（二）管理问题 (4)（三）技术问题 (5)三、优秀典型企业成功经验分析 (6)四、永恒之蓝勒索蠕虫最新攻击 (8)背景介绍2017年5月，影响全球的永恒之蓝勒索蠕虫（Wannacry）大规模爆发后，有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑：一个是内网穿透问题，一个是同业差距问题。

1）内网穿透问题Wannacry传播和攻击的一个明显的特点，就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多。

虽然说，未打补丁是内网设备中招根本原因，但Wannacry究竟是如何穿透的企业网络隔离环境，特别是如何穿透了物理隔离的网络环境，一直是令业界困惑的问题。

2）同业差距问题Wannacry传播和攻击的另外一个重要特点，就是有些机构大面中招，而有些机构则几乎无一中招。

而且，即便是在同行业、同规模、同级别，甚至是安全措施都差不太多的大型政企机构中，也是有的机构全面沦陷，有的机构就安然无事。

究竟是什么原因导致这种天差地别的结果呢？为能深入研究上述两个问题，寻找国内政企机构安全问题的症结所在及有效的解决途径，360威胁情报中心联合360安全监测与响应中心，对5月12日-5月16日间，国内1700余家大中型政企机构的网络安全应急响应情况进行了抽样调研。

并对上述问题得出了一些初步结论。

一、W annacry渗透内网原因分析从震网病毒开始，人们就已经充分的认识到：U盘可以作为病毒的摆渡实现内网渗透。