“永恒之蓝”攻击紧急处置方案(蠕虫WannaCry)[汇编].pdfVIP

针对“永恒之蓝”攻击应急方案 （蠕虫WannaCry ） 2017 年 05 月 13 日 1 / 22 第 1章 隔离网主机应急处置操作指南 首先确认主机是否被感染 被感染的机器屏幕会显示如下的告知付赎金的界面： 如果主机已被感染： 则将该主机隔离或断网（拔网线）。若客户存在该主机备份，则启动备份恢 复程序。 如果主机未被感染： 则存在四种方式进行防护，均可以避免主机被感染。针对未感染主机，方式 二是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一 效率最高。 从响应效率和质量上， 360建议首先采用方式一进行抑制，再采用方式二进 行根除。 第 3 页共 23 页 2 / 22 方式一：启用快速免疫工具 360勒索 ( 永恒之蓝、之石 ) 免疫工具 , 免疫工具的下载地址（注内含封 445端口）： b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip 采用快速处置方式，建议使用 360安全卫士的“ NSA武器库免疫工具”，可 一键检测修复漏洞、关闭高风险服务，包括精准检测出 NSA武器库使用的漏洞 是否已经修复，并提示用户安装相应的补丁。针对 XP、2003等无补丁的系统版 本用户，防御工具能够帮助用户关闭存在高危风险的服务，从而对 NSA黑客武 器攻击的系统漏洞彻底“免疫”。 NSA武器库免疫工具下载地址： /nsa/nsatool.exe 方式二：针对主机进行补丁升级 请参考紧急处置工具包相关目录并安装 MS17-010补丁， 2008服务器版补丁下载地址： ws6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b(MS17-010%20).msu 访问密码用户名 sgsj 111111 3 / 22 方式三：关闭 445 端口相关服务 点击开始菜单，运行， cmd，确认。 输入命令 netstat –an查看端口状态 输入 net stop rdr 回车 net stop srv 回车 net stop netbt 回车 第 5 页共 23 页 4 / 22 再次输入 netsta –an，成功关闭 445端口。 方式四：配置主机级 ACL策略封堵 445 端口 通过组策略 IP安全策略限制 Windows 网络共享协议相关端口 第 6 页共 23 页 5 / 22 开始菜单 -运行，输入 gpedit.msc回车。打开组策略编辑器