信息來源：CNCERT

        在Wannacry蠕蟲事件發(fā)生之后，CNCERT對“永恒之藍”SMB漏洞攻擊進行了持續(xù)監(jiān)測。在Wannacry蠕蟲傳播的初期，發(fā)起SMB漏洞攻擊嘗試的主機數(shù)量（很可能已感染蠕蟲）呈現(xiàn)下降趨勢，而在最近幾日，發(fā)起SMB漏洞攻擊嘗試的主機數(shù)量又出現(xiàn)了明顯上升的趨勢。現(xiàn)將有關(guān)情況通報如下：

        綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，通過SMB漏洞傳播的蠕蟲病毒中，除具備勒索軟件功能的變種外，還有一些變種具備遠程控制功能但沒有勒索軟件功能，而感染了后者的用戶一般不易覺察，難以及時采取防護和處置措施，因此SMB漏洞攻擊次數(shù)上升可能標志著出現(xiàn)新的蠕蟲變種依然在默默傳播，我國互聯(lián)網(wǎng)安全仍然面臨著巨大風(fēng)險。CNCERT再次提醒廣大互聯(lián)網(wǎng)用戶及時做好應(yīng)急防護措施，詳細方法見CNCERT于5月30日發(fā)布的《關(guān)于防范Windows操作系統(tǒng)勒索軟件Wannacry的情況通報》(http://www.cert.org.cn/publish/main/8/2017/20170513170143329476057/20170513170143329476057_.html)。

        在此提醒廣大用戶及時采取如下方法進行自查：

        1、在以下目錄出現(xiàn)如下文件之一：

            c:windowsmssecsvc.exe

            c:windowstasksche.exe

            c:windowsqeriuwjhrf

            c:program filesmicrosoft updatesupdateinstaller

            c:program filesmicrosoft updatessvchost.exe

            c:program filesmicrosoft updatestorunzip.exe

        2、在磁盤任意位置出現(xiàn)以下七個文件之一：

            architouch.inconfig.xml

            doublepulsar.inconfig.xml

            eternalblue.inconfig.xml

            eternalchampion.inconfig.xml

            eternalromance.inconfig.xml

            eternalsynergy.inconfig.xml

            smbtouch.inconfig.xml

        3、利用進程監(jiān)視工具，發(fā)現(xiàn)名為tasksche.exe的進程。

        4、在注冊表中搜索“EternalRocks”關(guān)鍵字。

        若主機中出現(xiàn)上述情況之一，即可判斷當(dāng)前系統(tǒng)已被蠕蟲病毒感染。

        CNCERT后續(xù)將密切監(jiān)測和關(guān)注該勒索軟件對境內(nèi)黨政機關(guān)和重要行業(yè)單位以及高等院校的攻擊情況，同時聯(lián)合安全業(yè)界對有可能出現(xiàn)的新的攻擊傳播手段、惡意樣本變種進行跟蹤防范。請國內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作，如需技術(shù)支援，請聯(lián)系 CNCERT。電子郵箱： cncert@cert.org.cn，聯(lián)系電話： 010-82990999。