CERNET各会员单位：

      北京时间2017年5月12日20时起，一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播。据有关媒体报道，感染该病毒后的系统重要数据会被黑客加密，并索取一定价值的比特币后，数据才会被解密。因此该病毒可能给用户带来的危害很难估计。

      该攻击代码利用了Windows文件共享协议中的一个安全漏洞通过TCP 445端口进行攻击，漏洞影响Windows全线的操作系统，微软2017年3月的例行补丁（MS17-010）对该漏洞进行了修补。WannaCry/Wcry勒索蠕虫病毒所利用的漏洞攻击代码是黑客组织Shadow Brokers（影子经纪人）在今年4月14日披露的Equation Group（方程式组织）使用的黑客工具包中的一个，攻击程序名为ETERNALBLUE，国内安全厂商命名为“永恒之蓝”。

      为防范该病毒对CERNET各用户单位计算机系统的感染和传播，尽可能减少其危害和影响，建议CERNET各用户单位尽快采取相应的具体防范措施建议，见附件。

                                                                                                                中国教育和科研计算机网CERNET

                                                                                                                          应急响应组CCERT

                                                                                                                             2017年5月13日

附件：

关于 WannaCry/Wcry 勒索蠕虫病毒的具体防范措施建议

• 个人计算机用户的预防措施：

       1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系统的用户，请启用系统自带的更新功能将补丁版本升级到最新版本；

       2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系统用户，建议升级操作系统到 Windows 7 及以上，如果因为特殊原因无法升级操作系统版本的，请手动下载补丁程序进行安装，补丁下载地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

       3、升级电脑上的杀毒软件病毒库到最新版本。

• 校园网预防措施：

       在校园网设备上阻断TCP 135、137、139、445 端口的连接请求，将会有效防止该病毒的传播，但是同时也阻断了校内外用户正常访问使用Windows系统相应文件共享机制的信息系统和网络服务。因此，必须谨慎使用下列预付措施：

       1、在网络边界（如校园网出口）上阻断 TCP 135、137、139、445 端口的连接请求。这个操作可有效阻断病毒从外部传入内部网络，但无法阻止病毒在内部网络传播。

       2、在校园网的核心交换设备处阻断 TCP 135、137、139、445 端口的连接请求，该操作可阻断病毒在校内的局域网间进行传播，但无法阻止病毒在局域网内传播。

       3、在局域网子网边界处阻断 TCP 135、137、139、445 端口的连接请求，该操作可最大限度保护子网的安全，但是无法阻挡该病毒在同台交换机下传播。

       综上所述，阻断网络的TCP 135、137、139、445 端口连接请求只是临时措施，尽快完成各类用户Windows系统软件的升级或修复漏洞才是防范该病毒的根本措施。