Petya勒索蠕虫病毒安全操作指南_v1.1_28JUN2017.docxVIP

Petya勒索蠕虫病毒安全操作指南北京时间 2017 年 6 月 27 日晚，据外媒消息，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇 Petya 勒索病毒袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。此次黑客使用的是 Petya 勒索病毒的变种 Petwarp，攻击方式和 WannaCry 相同，仍然采用“永恒之蓝”相关漏洞，但还会获取系统用户名与密码进行内网传播。病毒的首次感染还有可能会通过邮件，以DOC附件文档的形式，利用Office RTF漏洞进行攻击，因此请谨慎打开来历不明的邮件附件。Petya不会对电脑中的每个文件都进行加密，而是通过加密硬盘驱动器主文件表(MFT)，使主引导记录(MBR)不可操作，通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动。为避免新勒索蠕虫病毒对大连万达集团各业态业务产生影响，建议各产业集团、各地方公司积极依照该操作指南，实施安全风险处置。该指南中涉及的工具及相关安全补丁均可通过联系IT服务热线（itsupport）获得，也可直接访问以下链接获取：/soft/Security_Patchs/windows/受影响系统本次威胁仍主要通过Windows网络共享进行攻击,受影响的操作系统与WannaCry一致：Windows XP/Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows 10Windows Server 2000/2003/2008 R2/2012/2012 R2其中Windows XP的系统感染过程中可能会出现蓝屏、重启等各种表现。安全操作指南由于本次勒索蠕虫病毒仍利用“永恒之蓝”漏洞进行攻击，关闭Windows文件共享即“Server”服务仍是避免网内传播的重要前提。第一步拔掉计算机网线，或关闭无线网络连接；第二步启动计算机，观察电脑是否感染，如果弹出以下页面，则判断已经被感染；第三步关闭计算机Server服务；点击-【开始】按钮，选择【控制面板】，选择【管理工具】，双击【服务】，打开页面如下：在打开页面中找到Server，双击【Server】，打开页面如下：在【服务状态】处，点击【停止】按钮，以关闭服务，如图：在【启动类型】下拉框中，选择【禁止】，再点击右下角的【应用】，完成配置修改，如下图：第四步关闭WMI服务WMI(Windows Management Instrumentation Windows 管理规范)是一项核心的 Windows 管理技术，可以通过如下方法停止 : 在服务页面开启 WMI 服务。在开始-运行，输入 services.msc，进入服务。或者，在控制面板，查看方式选择大图标，选择管理工具，在管理工具中双击服务。在服务页面，按 W，找到 WMI 服务，找到后，双击，直接点击停止服务即可，如下图所示: 第五步备份系统中重要数据到移动存储；第六步漏洞修复对于仍未安装微软MS17-010漏洞相关补丁的电脑，请务必尽快安装相应安全补丁。如果计算机无U口或光驱，此时可以连接网线，下载360勒索蠕虫免疫程序OnionWormImmune，并运行该程序。然后再下载360勒索蠕虫漏洞修复工具进行一键式修复系统存在的MS17-010漏洞，或手动下载系统对应的补丁进行修复；如果计算机有U口或光驱，请与服务台联系获取360勒索蠕虫漏洞修复工具，在离线网络环境下一键式修复系统存在的MS17-010漏洞，或者与服务台联系获取系统对应的补丁程序进行漏洞修复，漏洞修复后，可以正常连接互联网。工具/补丁链接：序号工具文件名1360勒索蠕虫漏洞修复工具，此修复工具集成免疫、SMB服务关闭和各系统下MS17-010漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的MS17-010漏洞，根本解决勒索蠕虫利用MS17-010漏洞带来的安全隐患。注：下载该工具，解压后运行NSAScan.exe。如遇补丁安装失败，说明系统缺少其他关键补丁，请遵照微软建议先安装相应的SP后再安装该补丁。/soft/Security_Patchs/windows/EternalBlueFix.zipEternalBlueFix(237MB)2集团统一防病毒软件为McAfee防病毒软件。代理安装程序可从以下地址获得或联系服务台，该代理程序会自动完成McAfee防病毒软件的安装。/soft/Security_Patchs/windows/FramePkg.exeFramePkg.exe(6.7MB)3补丁下载地址：/soft/Security_Patchs/windows/（请根据自己系统版本下载相对应的补丁）利用360勒索蠕虫漏洞修复工具需注意以下问题：注意：该工具不适用于W