2019 年 5 月，安天接到某重要單位 的求助，其內網中執行任務的上百臺主機 頻繁出現死機、重啟、藍屏等現象。安天 應急服務小組迅速抵達用戶現場進行快速 處置。經前后臺協同聯動判定，這是一 起 WannaMine 挖 礦 蠕 蟲 通 過 EternalBlue （“永恒之藍”）漏洞在內網中進行橫向 移動并反復傳播感染內網主機的事件。永 恒之藍漏洞對應補丁為 MS17-010，如果 主機沒有安裝相應補丁或關閉相關端口， 則無法阻擋該病毒在內網中的滲透傳播。 WannaMine 最早出現于 2017 年底，它會最 大限度的利用 CPU 來挖掘門羅幣。

      安天 CERT 提示，通過安天智甲終端防御系統可以實現內網端點系統統一補 丁升級、安全加固策略配置和病毒統一查 殺。在沒有安天智甲部署的情況下，遇到 蠕蟲反復感染對應問題的用戶建議采取以 下緩解措施：對局域網內的所有主機采取 斷網操作；根據病毒所使用的漏洞和受感 染終端的操作系統版本信息，安裝對應的 安全補丁；在不影響用戶業務的前提下關 閉 445 端口，通過殺毒工具進行查殺；逐 步恢復網絡并通過抓包工具確認網內是否 存在惡意流量，并對全網終端安全狀態進 行確認。

      安天 CERT 提醒廣大政企客戶，應提 高網絡安全意識，在日常工作中及時進行系統更新和漏洞修復，不隨意下載非正版 的應用軟件，注冊機等。收發郵件時應確 認收發來源是否可靠，不隨意點擊或者復 制郵件中的網址，不輕易下載來源不明的 附件，發現網絡異常要提高警惕并及時采 取應對措施，養成及時更新操作系統和軟 件應用的良好習慣。確保所有的計算機在 使用遠程桌面服務時避免使用弱口令，如 果業務上無需使用遠程桌面服務，建議將 其關閉。

      目前，安天追影產品已經實現了對 Wannamine 挖礦蠕蟲的鑒定；安天智甲已 經實現了對 Wannamine 挖礦蠕蟲的查殺。