“永恒之蓝”攻击紧急处置方案设计(蠕虫WannaCry).docxVIP

针对“永恒之蓝”攻击应急方案（蠕虫 WannaCry）2017 年 05 月 13 日 第1章 隔离网主机应急处置操作指南 首先确认主机是否被感染 被感染的机器屏幕会显示如下的告知付赎金的界面： 如果主机已被感染： 则将该主机隔离或断网（拔网线）。若客户存在该主机备份，则启动备份恢复程序。 如果主机未被感染： 则存在四种方式进行防护，均可以避免主机被感染。针对未感染主机，方式二是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一效率最高。 从响应效率和质量上，360 建议首先采用方式一进行抑制，再采用方式二进行根除。 第 3 页 共 23 页 方式一：启用快速免疫工具 360勒索(永恒之蓝、之石)免疫工具,免疫工具的下载地址（注内含封445端口）： HYPERLINK 58:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e5%8b%92%e7%b4%a2(%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip 58:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e5%8b%92%e7%b4%a2(%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip采用快速处置方式，建议使用 360 安全卫士的“NSA 武器库免疫工具 ”，可一键检测修复漏洞、关闭高风险服务，包括精准检测出 NSA 武器库使用的漏洞 是否已经修复，并提示用户安装相应的补丁。针对 XP、2003 等无补丁的系统版本用户，防御工具能够帮助用户关闭存在高危风险的服务，从而对 NSA 黑客武器攻击的系统漏洞彻底“免疫”。 NSA 武器库免疫工具下载地址：/nsa/nsatool.exe 方式二：针对主机进行补丁升级 请参考紧急处置工具包相关目录并安装 MS17-010 补丁，2008服务器版补丁下载地址：58:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b(MS17-010%20).msu 访问密码用户名sgsj 111111 方式三：关闭 445 端口相关服务 点击开始菜单，运行，cmd，确认。 输入命令 netstat –an 查看端口状态 输入 net stop rdr 回车 net stop srv 回车 net stop netbt 回车 第 5 页 共 23 页 再次输入 netsta –an，成功关闭 445 端口。 方式四：配置主机级 ACL 策略封堵 445 端口 通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口 第 6 页 共 23 页 开始菜单-运行，输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中，计算机配置-windows 设置-安全设置-ip 安全策略 下，在编辑器右边空白处鼠标右键单击，选择“创建 IP 安全策略” 下一步-名称填写“封端口”，下一步-下一步-勾选编辑属性，并点完成 第 7 页 共 23 页 去掉“使用添加向导”的勾选后，点击“添加” 第 8 页 共 23 页 在新弹出的窗口，选择“IP 筛选列表”选项卡，点击“添加” 第 9 页 共 23 页 在新弹出的窗口中填写名称，去掉“使用添加向导”前面的勾，单击“添加” 第 10 页 共 23 页 在新弹出的窗口中，“协议”选项卡下，选择协议和设置到达端口信息，并点确定。