針對WannaCry蠕蟲感染應急處理辦法

1、文后附有本地下載一、已感染主機應急隔離辦法鑒于WannaCry蠕蟲具有極大的危險性，所有已知的被感染主機務必脫離當 前工作網(wǎng)絡進行隔離處理。針對已被蠕蟲破壞的文件，截至2017/5/14尚未發(fā)現(xiàn)任何有效恢復手段。為 防止蠕蟲進一步傳播，禁止將被感染主機任何文件拷貝至其他主機或設備，嚴格 禁止將已知的被感染主機重新接入任何網(wǎng)絡。二、重要文件應急處理辦法為保證重要文件不被WannaCry蠕蟲破壞，最大程度減小損失，所有未受感 染主機或不確定是否感染的主機禁止開機。對該類型主機需采取物理拷貝的方式進行處理，即：由專業(yè)人員打開主機 將全部存放重要文件的硬盤取出，并使用外置設備掛載至確定未受感染的主機進

2、 行拷貝。為防止二次感染，拷貝出的文件務必在隔離區(qū)進行處理。嚴格禁止將可能被感染的硬盤通過IDE、SATA等主板接口直接掛載至拷貝 機，以防止拷貝機使用此硬盤啟動，從而導致可能的被感染行為。對網(wǎng)絡中現(xiàn)有的、曾經(jīng)接入過的所有windows主機都應當采取上述方法進行 重要文件備份。物理拷貝流程結束后，按照：三、主機應急檢測策略 進行應急檢測處理。對于暫時沒有上述條件的或因某些情況必須開機的，務必保證在脫離辦公網(wǎng) 絡環(huán)境下保持接入互聯(lián)網(wǎng)開機（例如4G網(wǎng)絡、普通寬帶等），同時必須做到全 程保持互聯(lián)網(wǎng)暢通。一（接入互聯(lián)網(wǎng)成功的標準為：可以在瀏覽器中打開以下網(wǎng)站，并看到如圖所示內(nèi)容： HYPERLINK

3、www iuqerfsod p9ifj a posdfj h g osu rij sinkhole.tech - where the bots party hard and the researchers harder.對于無法接入互聯(lián)網(wǎng)的涉密機，務必在內(nèi)網(wǎng)配置web服務器，并將上述域名 解析至可訪問的內(nèi)網(wǎng)服務器中。此內(nèi)網(wǎng)服務器的主頁務必返回以下內(nèi)容:sinkhole.tech - where the bots party hard and the researchers harder. 在臨時開機處理結束后，關機并進行物理拷貝流程三、主機應急檢測策略針對物理拷貝結束后的主機，需進行以下處理：

4、檢測被掛載硬盤的windows目錄，查看是否存在文件：mssecsvc.exe，如果 存在則證明被感染。針對其他已開機的主機，檢查系統(tǒng)盤windows目錄中是否存在文件： mssecsvc.exe；檢查系統(tǒng)中是否存在服務mssecsvc2.0 （具體操作見本部分結 尾）。存在任何之一則證明已受感染。針對存在防火墻其他帶有日志功能設備的網(wǎng)絡，檢查日志中是否存在對域 名： HYPERLINK 的解析，若存在貝。 證明網(wǎng)絡內(nèi)存在被感染主機。針對檢測出的受感染主機，務必在物理拷貝流程結束后對所有硬盤進行格式 化處理。類似主機如果存在2017/4/13之前的備份，可進行全盤恢復操作（包含系統(tǒng) 盤以及其他

5、全部），在此時間之后的備份可能已被感染，不得進行恢復。針對已知存在受感染主機的網(wǎng)絡，禁止打開已關閉主機，同時對此類主機進 行物理拷貝流程。對于已開機的主機，立即進行關機，并進行物理拷貝流程。附：檢查服務的方法：按window + R鍵打開“運行”窗口:輸入services.msc回車，打開服務管理頁面:檢查“名稱”一欄中所有項目，存在mssecsvc2.0則表明被感染。四、未受感染主機應急防御策略針對未受感染的主機，存在以下四種應急防御策略。其中 策略一為最有效的防御手段，但耗時較長。其他策略為臨時解決方案 供無法實行策略一時臨時使用。應用策略二或策略三的主機將無法訪問網(wǎng)絡中的共享，請慎重使用

6、。在無法立即應用策略一時，建議首先應用策略四進行臨時防御。無論使用了 哪種臨時策略，都必須盡快應用策略一以做到完整防御。針對windows 10版本之下的主機，建議升級至windows 10并更新系統(tǒng)至最 新版本。因情況無法升級的，務必使用一種應急防御策略進行防御。策略一：安裝MS17-010系統(tǒng)補丁根據(jù)系統(tǒng)版本，安裝ms17-010漏洞補丁。其中windows 7以及更高版本可 以通過自動更新安裝全部補丁獲得，windows xp、windows 2003以及windows vista可以通過安裝隨文檔提供的臨時工具獲得。此補丁微軟提供的官方下載地址為： HYPERLINK /msrc/20

7、17/05/12/customer-guid /msrc/2017/05/12/customer-guid ance-for-wannacrypt-attacks/策略二：關閉漏洞相關服務可通過專業(yè)人員使用以下命令對漏洞相關服務進行關閉:sc stop LmHostssc stop lanmanworkstationsc stop LanmanServersc config LmHosts start二DISABLEDsc config lanmanworkstation start=DISABLED sc config LanmanServer start= DISABLE策略三：配置防火墻

8、禁止漏洞相關端口針對windows 2003或windows xp系統(tǒng)，點擊開始菜單，并打開控制面板在控制面板中雙擊windows防火墻”選項，點擊“例外”選項卡，取消勾 選“文件和打印機共享”，并點擊確定。針對windows 7及以上系統(tǒng)，點擊開始菜單，打開“控制面板”，點擊“系 統(tǒng)和安全” “Windows防火墻”。在windows防火墻配置頁面，點擊“允許程序或功能通過windows防火墻” 選項，點擊上方的“更改設置”：在列表中找到“文件和打印機共享”的復選框，取消勾選，最后點擊確定。策略四：使用漏洞防御工具360公司提供了蠕蟲免疫工具進行臨時防御，此工具可以在360網(wǎng)站下載。直接執(zhí)行

9、此工具即可進行簡單的臨時防御，每次重啟主機都必須重新執(zhí)行此 工具。五、公網(wǎng)服務器與網(wǎng)絡應急安全防御策略針對公網(wǎng)服務器（例如網(wǎng)站、公開系統(tǒng)等）多數(shù)可以連接至互聯(lián)網(wǎng)，對于 windows 2008 r2及更高版本的服務器，建議打開系統(tǒng)的“自動更新”功能， 并安裝全部漏洞補丁。對于windows 2003服務器，可選擇未受感染主機應急防御策略中的策略一進行防御同時建議盡快升級至更高版本的服務器（如windows 2008 r2 等）。針對內(nèi)部網(wǎng)絡，需要在保證主機安全的情況下防止可能的傳染。無需使用共享功能的，可在防火墻、路由器等設備上禁止445端口的訪問。由于此蠕蟲使用域名： HYPERLINK 作為發(fā)作開關， 在無法訪問此域名時即刻發(fā)作。因此，禁止在防火墻、IPS等網(wǎng)絡安全設備上攔 截該域名，否則會觸發(fā)已感染主機的加密流程，造成不可挽回的損失。使用內(nèi)網(wǎng)私有dns的，務必配置此域名的解析，并將其指向