附件：勒索病毒处理流程.DOC

一、未感染主机处置流程 对于未感染主机，可以通过手动修改配置或者使用免疫工具进行防护: 1、手动修改系统安全配置 主要流程概括如下： 1）关闭网络，开启系统防火墙； 2）利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）及网络共享； 3）打开网络，开启系统自动更新，并检测更新进行安装。 1.1 Win7、Win8、Win10的处理流程 1）关闭网络 2）打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙 3）选择启动防火墙，并点击确定 4）点击高级设置 5）点击入站规则，新建规则，以445端口为例 6）选择端口、下一步 7）选择特定本地端口，输入445，下一步 8）选择阻止连接，下一步 9）配置文件，默认全选，下一步 10）设置名称，可以任意输入，完成即可。 11）恢复网络 12）开启系统自动更新，并检测更新进行安装 注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。 1.2?XP系统的处理流程 1）依次打开控制面板，安全中心，Windows防火墙，选择启用。 2）通过注册表关闭445端口，单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。 3）找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。 4、将DWORD值命名为“SMBDeviceEnabled”，值修改为0。 5、重启机器，查看445端口连接已经没有了。 鉴于本次WannaCry蠕虫事件的影响巨大，微软总部决定对已停服的XP和部分服务器版本发布特别补丁，微软公告详情? /msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。 2、使用安全公司发布的免疫工具进行防护 1）360提供的检测免疫工具对系统进行快速免疫 “永恒之蓝”勒索蠕虫（WannaCry）检测工具 /other/onionwormkiller “永恒之蓝”勒索蠕虫（WannaCry）免疫工具 /other/onionwormimmune 安装微软发布的MS17-010补丁 /msrc/2017/05/12/customer-guidance-for-WannaCrypt-attacks/ （请根据操作系统版本进行针对性补丁下载） 二、已感染主机处置流程 关于已被感染的用户群体的详细处理如下： 1）首先拔掉网线，与内网其他机器隔离； 2）参考“一、未感染主机处置流程”操作免疫； 3）使用蠕虫勒索软件专杀工具（WannaCry）清除病毒； /response/wannacry/ATScanner.zip 4）使用PE盘进入操作系统，将可用文件进行备份，并对备份数据进行离线处理； 5）如果重装系统，重装后重复2)、3)步骤，并参考做好防护工作。 6）若文件非常重要，可在清除病毒后，尝试使用360恢复工具恢复。 /recovery/RansomRecovery.exe 若无效果，请将硬盘拆下，保存、等待……