各位客户：

       据媒体报道，国家网络与信息安全信息通报中心于2017年5月13日下午紧急通报，2017年5月12日20时左右，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。为防范风险，确保行业重要信息系统安全、稳定运行，现将有关事项通知如下：

一、 病毒描述

            2017年5月12日20时左右，全球爆发大规模新型“蠕虫”式勒索病毒感染事件。感染病毒的设备文件将被病毒加密，只有支付高额赎金才能解密恢复文件，对重要数据造成严重损失（如下图所示）。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

二、 防护措施

                    由于以上病毒已对包括我国在内的上万台主机造成了严重威胁，请各位客户高度重视，做好病毒防护相关工作。针对该病毒的工作原理及传播方式，请参照以下防护措施建议，做好相关安全保障工作。

1. 主机防护措施

Windows系统补丁升级

       病毒所针对的系统漏洞，微软公司已于2017年3月份发布了MS17-010等相应补丁，请根据实际情况对网络中的Windows系统主机及时进行补丁升级工作。

补丁下载升级过程中，请注意按照操作系统类型不同补丁有一定差异，具体如下：

操作系统为Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 、Windows Server 2012 R2、Windows RT 8.1、Windows 10、Windows Server 2016补丁链接如下：

https://technet.microsoft.com/zh-cn/libray/security/ms17-010.aspx

操作系统为Windows 8、Windows XP、  Windows Server 2003补丁链接如下：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

关闭445端口服务

检查系统是否开启服务：

打开“开始”按钮，点击“运行”（Win7以上版本为“搜索”），输入cmd，点击确定；输入命令：netstat -an 回车；查看结果中是否有445端口。

如果发现445端口开放，需要关闭Server服务，操作步骤如下：

点击“开始”按钮，在“运行”中输入cmd，右键点击菜单中出现的cmd图标，选择以管理员身份运行，在弹出的窗口中执行：

net stop rdr

net stop srv

net stop netbt

执行完毕后重启设备。

通过修改注册表方式如下（不同操作系统略有差异）：

点击开始按钮，在“运行”中输入regedit，点击确定，在弹出窗口中定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters目录。新建名为MBDeviceEnabled的DWORD值，并将其设置为0，则可关闭445端口。

三、感染主机处理

由于本次所出现的病毒采用AES+RSA的高强度加密机制，因此在没有解密秘钥的情况下，没有有效办法实现文件恢复。如发现有主机感染病毒，请进行以下处理：

1.断开主机外部连接，包括但不限于：网线、移动存储设备、办公打印设备等；

2.对感染主机进行重新安装系统处理，并对网络中全部主机进行病毒查杀；

3.近期与感染主机连接过的移动存储设备，请进行查杀或格式化后再行使用，避免造成病毒交叉感染。

长安期货有限公司

二〇一七年五月十六日