永恒之蓝漏洞与勒索病毒Ransom.Wannacry排查指导 .pdfVIP

排查指导

1.排查操作系统是否打上了MS17-010的补丁

在控制面板程序程序和功能已安装更新里查看如果没有3月或者4月安装的补丁

(如下图所示),如果没有则执行第2步;

2.排查windows机器高危端口135\445\3389是否打开,一般3389都会开放;

3.查看系统的登录日志是否存在频繁的尝试登录操作;

在cmd下运行eventvwr命令,选择windows日志下的安全

在短时间内有多次审核失败且任务类型为登录的记录,则说明可能存在尝试登录操作

4.启动任务管理器,在进程标签中查看有没有可疑进程,比如存在包含”Wanna”字符串的进

程;对于无法确定的进程,可以截图后由专业人员进行分析;

5.全盘搜索有没有文件名包含Wanna“”的文件(模糊匹配),

6.在确认操作系统被勒索病毒感染后,请不要按照提示付款，建议备份操作系统

中关键资料文件,请联系微软及病毒软件厂家处理，提供给分析人员进行分析。

。

说明:勒索软件不同于普通的病毒软件,不会刻意隐藏自身,具有明显的特征,所以通过简单的

查看操作系统中的文件是否正常就可以判断是否感染勒索病毒.

缓解措施：

1、请不要随意点击打开来历不明的邮件附件和链接

2、尽快为操作系统打上最新补丁

3、对关键信息文件及时定期进行备份