一、确认主机是否被感染
被感染主机会在屏幕显示类似如下的支付赎金通知的界面:被感染主机会在屏幕显示类似如下的支付赎金通知的界面:
二、被感染主机处置流程
1)将该主机隔离或断网(拔网线);
2)使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;
3)重新安装操作系统,或者利用安天发布的专杀工具[1]清除主机中的勒索软件;
4)若采用专杀工具方式清除主机中勒索软件,则可以利用360发布的文件恢复工具[4]尝试恢复部分被勒索软件加密的文档;
5)根据未感染主机处置流程对主机进行安全防护;
6)若客户存在该主机备份,则启动备份恢复程序。
三、未感染主机处置流程
对于未感染主机,可以通过手动修改配置或者使用免疫工具进行防护,避免主机被感染。
1、手动修改系统安全配置
主要流程概括如下:
1)关闭网络,开启系统防火墙;
2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;
3)打开网络,开启系统自动更新,并检测更新进行安装。
1.1 Win7、Win8、Win10的处理流程
1)关闭网络
2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
3)选择启动防火墙,并点击确定
4)点击高级设置
5)点击入站规则,新建规则,以445端口为例
6)选择端口、下一步
7)选择特定本地端口,输入445,下一步
8)选择阻止连接,下一步
9)配置文件,默认全选,下一步
10)设置名称,可以任意输入,完成即可。
11)恢复网络
12)开启系统自动更新,并检测更新进行安装
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。
1.2 XP系统的处理流程
1)依次打开控制面板,安全中心,Windows防火墙,选择启用
2)通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
3)找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
4)将DWORD值命名为“SMBDeviceEnabled”,值修改为0。
5)重启机器,查看445端口连接已经没有了。
6)安装微软总部针对该漏洞(MS17-010)发布的特别补丁[5]。
2、使用安全公司发布的免疫工具进行防护
1)使用安天[2]或360[3]提供的检测免疫工具对系统进行快速免疫;
2)安装微软发布的MS17-010补丁[5]。
参考
[1]蠕虫勒索软件专杀工具(WannaCry)(安天提供):
http://www.antiy.com/response/wannacry/ATScanner.zip
[2]蠕虫勒索软件免疫工具(WannaCry)(安天提供):
http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
[3]“永恒之蓝”勒索蠕虫(WannaCry)检测工具(360提供)
http://b.360.cn/other/onionwormkiller
[4]勒索病毒份文件恢复工具(360提供):
https://dl.360safe.com/recovery/RansomRecovery.exe
[5]微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-WannaCrypt-attacks/
[6]安天应对勒索软件“wannacry”配置指南
http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html
[7] 安天应对勒索软件“WannaCry”开机指南
http://www.antiy.com/response/Antiy_Wannacry_Guide.html
[8] 360针对“永恒之蓝”攻击紧急处置手册(蠕虫WannaCry)
http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458365
(来源:国家信息安全漏洞共享平台)