近期国内外爆发了基于Windows平台的勒索病毒感染事件，主机内重要文件被加密，并显示类似下图所示的勒索界面：

经初步调查，此类勒索病毒是利用基于445端口传播的Windows系统SMB漏洞进行感染，而不是此前通常的携带病毒Office文档的电子邮件传播被勒索病毒感染后，主机内大量重要文件（如Word、Excel等）被加密，由于加密强度高解密难度大，只能通过支付高额的比特币赎金才能解密恢复文件，对被感染主机威胁严重。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB漏洞利用程序，可以攻击开放445端口的 Windows主机，实现远程命令执行。微软在今年3月份发布的MS17-010补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。

根据安全公司统计，目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击，并且攻击规模还有进一步扩大趋势。

此次利用的SMB漏洞影响以下未自动更新的操作系统：

Windows XP／Windows 2000／Windows 2003

Windows Vista／Windows Server 2008／Windows Server 2008 R2

Windows 7／Windows 8／Windows 10

Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

我们在做好校园网络层面可实施的各项安全防护措施的基础上，建议师生加强安全防护措施，降低被网络勒索病毒感染风险。具体个人主机防护措施建议如下：

1.升级操作系统补丁到最新（推荐）：

通过Windows官方渠道、主要安全厂商安全客户端等，将Windows主机系统更新升级到最新状态；

安装可信安全厂商安全防护软件，Windows系统设置补丁自动升级；

保持良好的网络使用习惯（不随意打开不明来源的Office文档、可执行文件；使用Chrome、Firefox、360安全等安全防护功能较好的浏览器；不打开来源不明的网络连接；不下载和安装来源不明的主机应用和移动应用）。

2.临时设置防火墙和取消文件共享设置（不推荐，临时缓解）：

若不具备升级Windows补丁到最新的条件，建议启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。

另外，对于有大量重要文档信息的主机，请经常进行重要文件备份，并将备份介质离线保存（也就是将备份的硬盘断开与主机的USB等连接来存放）；停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统，及时升级操作系统补丁到最新。

3.检测工具下载：http://dl.360safe.com/nsa/nsatool.exe