安恒信息勒索病毒安全应急指导手册.pdfVIP

申明

本文档包含了来自安恒（以下简称“安恒信息”的技

术和商业信息，给“安恒信息”的客户或合作伙伴使用。接受本文档表示同

意对其内容并且“安恒信息”认可，、或散布本文档

的。

本文档及其描述的产品受有关法律的保护，对本文档内容的的

，或散布，将导致相应的。

“安恒信息”保留在不另行的情况下修改本文档的权利，并保留对本文

档内容的解释权。

目录

1.相关说明4

2.影响范围5

3.检测方法5

4.应急处置7

4.1对于已经的系统7

4.2对于未的系统7

4.3网络层防护9

5.离线补丁地址9

1.相关说明

时间2017年05月12日，安恒信息到利用NSA库泄

漏的“永恒之蓝”工具发起的网络：大量服务器和个人PC后

被控制，成为分子的机（会耗费大量计算资源，导致

机器性能降低），甚至被安装软件，磁盘文件会被加密为.onion或

者.WNCRY后缀，用户只有支付高额赎金后才能恢复文件，对个人及企业重

要文件数据造成严重损失。受如下所示：

“EternalBlue”工具利用的是微软Windows操作系统的SMBv1协议中的安全

。验证的者可以向目标机器发送特制报文触发缓冲区溢出，

导致在目标机器上执行任意代码。“永恒之蓝”工具会扫描开放445文件共

享端口的Windows机器，只要用户开机上网，就可能在电脑和服务器中植入

软件。

之前国内利用445端口的蠕虫，运营商对个人用户封掉此端

口；但国内特定行业的网络无此限制，存在大量445端口的机器，因此也成

为了此次的重灾区，已经有大量该行业网络的用户报告个人PC被安装

了软件。此外，根据国体的，目前英国、、俄罗斯、西班

牙、意大利、越南、等国家和地区也出现了被的情况。

2.影响范围

MS17-010主要影响以下操作系统：

桌面版本操作系统：

Windows2000

WindowsXP

WindowsVista

Windows7

Windows8

Windows8.1

Windows10

服务器版本操作系统：

WindowsServer2000

WindowsServer2003

WindowsServer2008

WindowsServer2012