文后附有本地下载.docVIP

文后附有本地下载 一、已感染主机应急隔离办法 鉴于WannaCry蠕虫具有极大的危险性，所有已知的被感染主机务必脱离当前工作网络进行隔离处理。 针对已被蠕虫破坏的文件，截至2017/5/14尚未发现任何有效恢复手段。为防止蠕虫进一步传播，禁止将被感染主机任何文件拷贝至其他主机或设备，严格禁止将已知的被感染主机重新接入任何网络。 二、重要文件应急处理办法 为保证重要文件不被WannaCry蠕虫破坏，最大程度减小损失，所有未受感染主机或不确定是否感染的主机禁止开机。 对该类型主机需采取物理拷贝的方式进行处理，即：由专业人员打开主机，将全部存放重要文件的硬盘取出，并使用外置设备挂载至确定未受感染的主机进行拷贝。 为防止二次感染，拷贝出的文件务必在隔离区进行处理。 严格禁止将可能被感染的硬盘通过IDE、SATA等主板接口直接挂载至拷贝机，以防止拷贝机使用此硬盘启动，从而导致可能的被感染行为。 对网络中现有的、曾经接入过的所有windows主机都应当采取上述方法进行重要文件备份。 物理拷贝流程结束后，按照：三、 主机应急检测策略?进行应急检测处理。 ? 对于暂时没有上述条件的或因某些情况必须开机的，务必保证在脱离办公网络环境下保持接入互联网开机（例如4G网络、普通宽带等），同时必须做到全程保持互联网畅通。 （接入互联网成功的标准为：可以在浏览器中打开以下网站，并看到如图所示内容： ） 对于无法接入互联网的涉密机，务必在内网配置web服务器，并将上述域名解析至可访问的内网服务器中。  此内网服务器的主页务必返回以下内容：  sinkhole.tech - where the bots party hard and the researchers harder. !-- h4 -- ? 在临时开机处理结束后，关机并进行物理拷贝流程。 三、主机应急检测策略 针对物理拷贝结束后的主机，需进行以下处理： 检测被挂载硬盘的windows目录，查看是否存在文件：mssecsvc.exe，如果存在则证明被感染。 针对其他已开机的主机，检查系统盘windows目录中是否存在文件：mssecsvc.exe；检查系统中是否存在服务mssecsvc2.0（具体操作见本部分结尾）。存在任何之一则证明已受感染。 ? 针对存在防火墙其他带有日志功能设备的网络，检查日志中是否存在对域名：的解析，若存在则证明网络内存在被感染主机。 ? 针对检测出的受感染主机，务必在物理拷贝流程结束后对所有硬盘进行格式化处理。 类似主机如果存在2017/4/13之前的备份，可进行全盘恢复操作（包含系统盘以及其他全部），在此时间之后的备份可能已被感染，不得进行恢复。 ? 针对已知存在受感染主机的网络，禁止打开已关闭主机，同时对此类主机进行物理拷贝流程。对于已开机的主机，立即进行关机，并进行物理拷贝流程。 ? 附：检查服务的方法：  按window + R键打开“运行”窗口：  输入services.msc回车，打开服务管理页面： ?四、未受感染主机应急防御策略 针对未受感染的主机，存在以下四种应急防御策略。 其中?策略一为最有效的防御手段，但耗时较长。其他策略为临时解决方案，供无法实行策略一时临时使用。 应用策略二或策略三的主机将无法访问网络中的共享，请慎重使用。 在无法立即应用策略一时，建议首先应用策略四进行临时防御。无论使用了哪种临时策略，都必须尽快应用策略一以做到完整防御。 ? 针对windows 10版本之下的主机，建议升级至windows 10并更新系统至最新版本。因情况无法升级的，务必使用一种应急防御策略进行防御。 策略一：安装MS17-010系统补丁 根据系统版本，安装ms17-010漏洞补丁。其中windows 7以及更高版本可以通过自动更新安装全部补丁获得，windows xp、windows 2003以及windows vista可以通过安装随文档提供的临时工具获得。 此补丁微软提供的官方下载地址为： /msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ ? 策略二：关闭漏洞相关服务 可通过专业人员使用以下命令对漏洞相关服务进行关闭： sc stop LmHosts sc stop lanmanworkstation sc stop LanmanServer ? sc config LmHosts start=DISABLED sc config lanmanworkstation start=DISABLED sc config LanmanServer start= DISABLE ? 策略三：配置防火墙禁止漏洞相关端口 针对windows 2003或windows xp系统，点击开始菜单，并