勒索病毒wnncry防范处置手册.docVIP

勒索病毒WannaCry防范处置手册 校园网用户： 2017年5月12日20时左右，全球爆发大规模基于Windows平台的勒索软件感染事件。该勒索病毒WannaCry（又名WannaCrypt0r或WCry）同时具备加密勒索和内网蠕虫传播能力，危害极大。病毒利用Windows系统默认开放的445端口在内网进行传播，不需要用户进行任何操作即可进行感染。感染后设备上的所有文件都将会被加密，一旦被加密即使支付也不一定能够获得解密密码。病毒攻击原理涉及到微软Windows操作系统SMB服务漏洞。虽然微软在2017年3月就已经推送了该漏洞相关补丁，该Windows操作系统SMB服务漏洞早在2017年4月发布预警，然而当时的预警仍然未引起很多的重视，依然有很多系统尚未安全更新补丁。这次病毒的爆发事件再次提醒大家重视安全，及时进行补丁升级。 学校于5月12日晚监测到病毒攻击有漫延扩大的趋势，已及时向用户发出了勒索软件病毒攻击的紧急通知，并开始对数据中心区域服务器进行安全排查，升级安全软件病毒库以及更新系统补丁，并下载最新的检测工具进行检测，13日凌晨完成对全校各区域路由器相应端口的网段隔离，封锁135/137/138/139/445端口双向流量，最大限度降低校园网内的传播风险。 为帮助用户共同防范病毒，网络中心收集整理了该勒索病毒的防范处置方法，广大师生用户可按照以下方法对个人电脑、笔记本进行处置。为避免用户防范处置时获取补丁和工具遇到问题，已将相关补丁和工具保存至校内服务器，供用户快速下载。 图1 整理的补丁和工具列表（链接见防范处置方法） 一、影响分析 此次利用的SMB漏洞影响以下未自动更新的操作系统： Windows XP／Windows 2000／Windows 2003 /Windows Vista／Windows Server 2008／Windows Server 2008 R2 /Windows 7／Windows 8／Windows 10 Windows Server 2012／Windows Server 2012 R2／Windows Server 2016 当系统被该勒索软件入侵后，弹出勒索对话框： 图 2 勒索界面 加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”。 图 3 加密后的文件名 二、漏洞检测 通过以下工具可以检测目标系统是否存在漏洞。 长亭科技漏洞检测工具：/cn/ms17010-checker.zip 漏洞检测工具校内下载1：:8000/d/5337788652/ 访问密码 ms17-010??????? 漏洞检测工具校内下载2：ftp://ftpfile@3/? 访问密码 ms17-010 三、已经感染解决方案 1、断开网络连接，阻止进一步扩散。 2、已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。 3、在处置同时尽快向网络中心报告情况，请拨打用户服务电话 360公式勒索蠕虫病毒恢复工具 /recovery/RansomRecovery.exe （说明：该工具可以尝试恢复部分被加密数据） 360公司专杀工具下载链接：/other/onionwormkiller 安天蠕虫勒索软件专杀工具（WannaCry）/response/wannacry/ATScanner.zip （说明：Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除，但无法恢复已经被加密的文件。） 校内快速下载地址1：:8000/d/5337788652/ 访问密码 ms17-010????????校内快速下载地址2：ftp://ftpfile@3/? 访问密码 ms17-010 防范处置方案 对于目前尚未感染的用户来说：1断网/2开机/3封堵445端口（或免疫工具）/4打补丁,这个顺序至关重要,也最稳妥。 1、临时解决方案一：防火墙阻断445端口 对于以上Windows系统版本，建议在开机前先断网，在离线状态下开机，启用并打开“Windows防火墙”，进入“?级设置”，在?站规则?禁?“文件和打印机共享”相关规则，或者在入站规则中新增规则阻断445端口，此方案为临时缓解措施，只是临时关闭了SMB服务。操作详细步骤见参考资料6《360针对“永恒之蓝”攻击紧急处置手册》。 临时解决方案二：使用蠕虫快速免疫工具 360免疫工具的下载地址：/tools/OnionWormImmune.exe 安天免疫工具的下载地址：/response/wannacry/Vaccine_for_wannacry.zip