勒索病毒应急防护操作指南.pdfVIP

永恒之蓝凶猛，周一上班请用正确打开电脑

这个周末，对于圈来说可以用“腥风”来形容。时间5月12日开始，全球

范围内了基于Windows网络共享协议进行的蠕虫代码。截止发稿时为止，

包括、俄罗斯以及整个欧洲在内的100多个国家，及国内众多大型企业内网、教育机构

内网和机构专网中招，用户电脑磁盘上的文件被加密，用户被支付高额赎金才能解

密恢复文件。由于使用的是高强度的RSA和AES加密算法，目前还无法。换句话

说，用户一旦中招，基本无解。

明天是周一，是“永恒之蓝”后的第一个工作日。为避免周一上班开机后勒

索，安恒信息强烈建议Windows操作系统用户采取以下步骤打开电脑：

第一步：重要的事情说三遍，先断网，先断网，先断网！有线网络用户请拔掉网线，WiFi用

户请关掉WiFi开关。

第二步：关闭445端口。

对于客户端操作系统：

1.打开“控制面板”，单击“程序”，然后单击“打开或关闭Windows功能”。

2.在“Windows功能”窗口中，清除“SMB1.0/CIFS文件共享支持”复选框，然后单击“确定”

以关闭此窗口。

3.重启系统。

对于服务器操作系统：

1.打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。

2.在“功能”窗口中，清除“SMB1.0/CIFS文件共享支持”复选框，然后单击“确定”以关闭此

窗口。

3.重启系统。

出于安全性考虑，安恒信息建议在Windows中关闭所有非必需的端口，如135、137、138、

139端口。

第三步：备份电脑上的重要文件材料。

第四步：联网升级防软件，并确认已安装MS17-010补丁。补丁地址（适用于

Windows7及以上版本，以及WindowsServer2008及以上版本）：

鉴于此次事态严重，微软对已不在服务期内的WindowsXP和WindowsServer2003

也发布了特别补丁：

attacks/

如果您是网络管理人员，除了采取上述步骤开机外，安恒信息建议您周一上班后还要采取以

下措施：

⚫企业出口网关上启用过滤策略，135、137、138、139等高风险端口；

⚫如果不确认企业员工能够正确的执行关闭端口、安装补丁等操作，在确认安全的机

器上将微软补丁到干净的U盘上，在员工电脑上本地安装补丁。