周一开机保障指南及工具包.docx

PAGE  PAGE 27 周一开机保障指南及工具包 2017年05月14日 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc482542050 第1章 事件概述  PAGEREF _Toc482542050 \h 3  HYPERLINK \l _Toc482542051 第2章 受影响系统  PAGEREF _Toc482542051 \h 4  HYPERLINK \l _Toc482542052 第3章 本文档及工具包的作用  PAGEREF _Toc482542052 \h 5  HYPERLINK \l _Toc482542053 第4章 本文档及工具包的内容  PAGEREF _Toc482542053 \h 6  HYPERLINK \l _Toc482542054 4.1 所包含的文档说明  PAGEREF _Toc482542054 \h 6  HYPERLINK \l _Toc482542055 4.2 所包含的工具说明  PAGEREF _Toc482542055 \h 7  HYPERLINK \l _Toc482542056 第5章 安全开机操作指南  PAGEREF _Toc482542056 \h 9  HYPERLINK \l _Toc482542057 5.1 如果你是服务器管理员  PAGEREF _Toc482542057 \h 9  HYPERLINK \l _Toc482542058 5.2 如果你是桌面终端管理员  PAGEREF _Toc482542058 \h 15  HYPERLINK \l _Toc482542059 5.3 如果你是本机构的普通电脑用户  PAGEREF _Toc482542059 \h 23  事件概述 2017 年 4 月，美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分 网络武器被公开，其中有十款工具最容易影响 Windows 用户，包括永恒之蓝、 永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、 日食之翼和尊重审查。不法分子利用“永恒之蓝”，通过扫描开放445文件共享端口的 Windows，无需任何操作，只要开机上网，不法分子就能在电脑和服务器 中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序，就像冲击波、 震荡波等著名蠕虫一样可以瞬间影响互联网。 2017 年 5 月 12 日晚间起，我国各大高校的师生陆续发现自己电脑中的文件 和程序被加密而无法打开，弹出对话框要求支付比特币赎金后才能恢复，如若不 在规定时间内 供赎金，被加密的文件将被彻底删除。同时，英国多家医院也受 到了类似的勒索攻击，导致医院系统趋于瘫痪，大量病患的诊断被延误。而此次 事件不是个案，后续不断报道出全球各国遭受勒索软件威胁，近 100 个国家遭受 了攻击。加油站、火车站、ATM 机、政府办事终端等设备以及邮政、医院、电信 运营商，部分工业设施等行业都被“中招”，部分设备已完全罢工，无法使用。 目前，该事件的影响已逐步扩展到国内各类规模的企业内网、教育网、政府机构 等多类单位。 需要了解该永恒之蓝”(蠕虫 WannaCry) 攻击详情的用户请参考附件1《 360针对“永恒之蓝”（蠕虫WannaCry）攻击预警通告》 受影响系统 本次威胁主要影响以下操作系统： 桌面版本操作系统： Windows 2000 Windows XP Windows Vista Windows7 Windows8 Windows8.1 Windows10 服务器版本操作系统： Windows Server 2000 Windows Server 2003 Windows Server 2008 Windows Server 2012 Windows Server 2016 本文档及工具包的作用 由于本次攻击爆发在5月12日周五下午，感染高峰出现在众多机构下班之后，周六和周日两天恰逢公休，360安全监测与响应中心判断在5月15日周一上班时，存在大量电脑或服务器开机的情况，此时应该存在新的一轮感染高峰，为了确保周一开机时用户电脑和服务器免遭病毒感染或避免更大范围的传播，360企业安全制定了本文档，用于指导机构用户不同角色根据指南内容进行安全操作。 本文档及工具包的内容 本指南包含多个文档及工具，下表针对文档和工具提供详细说明。 所包含的文档说明 序号文档说明文件名1360CERT针对本次攻击的操作指南，包含在不使用安全产品的