应对Windows操作系统勒索软件“WannaCry”应急处理指导
laoyan 2017-05-15 10:49:26
分 享


一、确认主机是否被感染

       

被感染主机会在屏幕显示类似如下的支付赎金通知的界面:


1494669592617103.png


二、被感染主机处置流程


将该主机隔离或断网(拔网线);
使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;
重新安装操作系统,或者利用安天发布的专杀工具清除主机中的勒索软件;
若采用专杀工具方式清除主机中勒索软件,则可以利用360发布的文件恢复工具尝试恢复部分被勒索软件加密的文档;
根据未感染主机处置流程对主机进行安全防护;
若客户存在该主机备份,则启动备份恢复程序。


三、未感染主机处置流程


对于未感染主机,可以通过手动修改配置或者使用免疫工具进行防护,避免主机被感染。


1、手动修改系统安全配置


主要流程概括如下:


(1)关闭网络,开启系统防火墙;

(2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;

(3)打开网络,开启系统自动更新,并检测更新进行安装。


1.1 Win7、Win8、Win10的处理流程


(1)关闭网络


应对Windows操作系统勒索软件“WannaCry”应急处理指导02.png


(2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙


应对Windows操作系统勒索软件“WannaCry”应急处理指导03.png


(3)选择启动防火墙,并点击确定


应对Windows操作系统勒索软件“WannaCry”应急处理指导04.png


(4)点击高级设置


应对Windows操作系统勒索软件“WannaCry”应急处理指导05.png


(5)点击入站规则,新建规则,以445端口为例


应对Windows操作系统勒索软件“WannaCry”应急处理指导06.png


(6)选择端口、下一步


应对Windows操作系统勒索软件“WannaCry”应急处理指导07.png


(7)选择特定本地端口,输入445,下一步


应对Windows操作系统勒索软件“WannaCry”应急处理指导08.png


(8)选择阻止连接,下一步


应对Windows操作系统勒索软件“WannaCry”应急处理指导09.png


(9)配置文件,默认全选,下一步


应对Windows操作系统勒索软件“WannaCry”应急处理指导10.png


(10)设置名称,可以任意输入,完成即可。


应对Windows操作系统勒索软件“WannaCry”应急处理指导11.png


(11)恢复网络


应对Windows操作系统勒索软件“WannaCry”应急处理指导12.png


(12)开启系统自动更新,并检测更新进行安装


应对Windows操作系统勒索软件“WannaCry”应急处理指导13.png


注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。


应对Windows操作系统勒索软件“WannaCry”应急处理指导14.png


1.2 XP系统的处理流程


(1)依次打开控制面板,安全中心,Windows防火墙,选择启用


应对Windows操作系统勒索软件“WannaCry”应急处理指导15.png


(2)通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。


应对Windows操作系统勒索软件“WannaCry”应急处理指导16.png


(3)找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。


应对Windows操作系统勒索软件“WannaCry”应急处理指导17.png


(4)将DWORD值命名为“SMBDeviceEnabled”,值修改为0。


应对Windows操作系统勒索软件“WannaCry”应急处理指导18.png


(5)重启机器,查看445端口连接已经没有了。


应对Windows操作系统勒索软件“WannaCry”应急处理指导19.png


(6)安装微软总部针对该漏洞(MS17-010)发布的特别补丁。


2、使用安全公司发布的免疫工具进行防护


(1)使用检测免疫工具对系统进行快速免疫

(2)安装微软发布的MS17-010补丁


相关链接


http://www.cnvd.org.cn/webinfo/show/4140
蠕虫勒索软件专杀工具(WannaCry)(安天提供):http://www.antiy.com/response/wannacry/ATScanner.zip
蠕虫勒索软件免疫工具(WannaCry)(安天提供): http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
永恒之蓝”勒索蠕虫(WannaCry)检测工具(360提供)http://b.360.cn/other/onionwormkiller
勒索病毒份文件恢复工具(360提供):https://dl.360safe.com/recovery/RansomRecovery.exe
微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-WannaCrypt-attacks/


转载请注明来自Lybbn(lybbn.cn)

我要小额支持下

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

取消
吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!