事件回放
5月12日晚上20时左右，全球爆发大规模勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付赎金（如比特币）才能解密恢复文件。国内感染勒索病毒的分布（如下图）

据国内某安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

破坏一个计算机系统，网络进攻只是最差的手段而已，最好的一定是一把榔头，所以日常外设接入，比如U盘、光盘、网闸同样危险，不然教育网等专网是如何中招的呢？

要在未来面对类似的网络蠕虫立于不败之地，建议做到以下几点：
1.泰信通基于SDN的NAT是非常好的网络特性，复用IP的同时隐藏内部网络，可抵挡相当多外对内的攻击。

2.为保障政企、高校、园区网络安全，需从网络源头开始。泰信通SDN网络以业务、数据安全为导向，可以分区域、分网络分片（基于SDN网络分片技术）乃至分终端使能分布式防火墙，从SDN网络接入侧控制用户终端、业务应用服务器，默认拒绝所有来135、137、139、445等端口的网络流量。泰信通SDN控制器集中控制、配置这些策略，灵活处置网络流量，真正从网络源头切断病毒威胁源头，让您网络安全无忧。

3.泰信通SDN网络采用网络精细化分片的理念，将SDN网络进行网络分片隔离，如用户安全信任区、安全基线认证前区、安全风险区，分区粒度粗细灵活，区域间网络完成隔离，严格杜绝勒索病毒扩散，有效控制安全威胁范围，降低安全威胁影响。

4.泰信通SDN控制器可与政企域管理系统、网络安全准入系统进行安全协同，配置用户OS系统补丁更新策略，及时更新用户终端操作系统补丁，同步最新的OS软件Patch，加上前述SDN分域、分片、分终端的网络隔离，最大限度的降低安全风险。

5.利用SDN网络特色的SDN安全服务链，将SDN网络与网络安全服务设备集成联动，当存在安全服务设备检测出威胁的网络流量，第一时间发送给泰信通SDN控制器，迅速定位威胁源，从流量源头对其实施精细化网络控制策略，如网络隔离或下线，拒绝威胁流量进入网络，决不放过任何一个安全危险源，第一时间保障政企、校园等网络免受勒索病毒困扰。

泰信通SDN解决方案拓扑图

 
针对“永恒之蓝”勒索蠕虫，泰信通根据各种环境应对勒索病毒的解决方案建议汇总如下：
未感染预防方案
1.开机前关闭所有网络。
2.重要文件备份（非本地备份）。
3.开启主机防火墙，阻止445等端口。
4.利用其他途径下载OS补丁，进行本机更新。
5.关闭无需共享的服务（如文件、打印机共享）。

网络应急解决方案
1.在出口设备禁止外网对内网135/137/139/445等未用端口连接。
2.在内网核心及汇聚设备设置禁止135/137/139/445等未用端口连接。
3.如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。
4.发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

已中毒用户解决方案
1.断开网络连接，阻止进一步扩散。
2.优先检查未感染主机，做好漏洞加固工作后方可恢复网络连接。
3.已感染终端处置后，建议格式化后再重装系统、检查无漏洞后再恢复网络。

内部排查应急方案
1.若用户已部署漏洞扫描类产品，可联系厂商获得最新漏洞库的支持。
2.未部署相关产品的用户，可联系厂商获得产品试用应急。

无法关闭服务端口的应急解决方案
1.若用户已部署UTM/IPS入侵防御类产品，可联系厂商获得最新事件库的支持。
2.未部署相关产品的用户，可联系厂商获得产品试用应急。

网络安全关键在于防范，如需防范未知网络安全问题，欢迎您咨询泰信通SDN网络安全专家（电话：0755-2806 9686 邮箱：service@ticomm.cn）

关于泰信通
泰信通作为中国SDN及云网融合产业的创新推动者，一直致力于扎根行业、深入场景进行产品设计和创新，为IDC、政府、金融、医疗、能源、制造、教育、交通、电信、广电等行业打造定制化专属云网解决方案，为客户创造新价值。泰信通坚持以用户需求和SDN、云网融合前沿技术驱动为导引，每年研发投入超过收入的40%，并且泰信通通过参与相关领域的标准工作，保证了泰信通创新技术处于行业前沿，引领国内SDN及云网产业的发展。