针对WannaCry蠕虫感染应急处理办法

1、文后附有本地下载一、已感染主机应急隔离办法鉴于WannaCry蠕虫具有极大的危险性，所有已知的被感染主机务必脱离当 前工作网络进行隔离处理。针对已被蠕虫破坏的文件，截至2017/5/14尚未发现任何有效恢复手段。为 防止蠕虫进一步传播，禁止将被感染主机任何文件拷贝至其他主机或设备，严格 禁止将已知的被感染主机重新接入任何网络。二、重要文件应急处理办法为保证重要文件不被WannaCry蠕虫破坏，最大程度减小损失，所有未受感 染主机或不确定是否感染的主机禁止开机。对该类型主机需采取物理拷贝的方式进行处理，即：由专业人员打开主机 将全部存放重要文件的硬盘取出，并使用外置设备挂载至确定未受感染的主机进

2、 行拷贝。为防止二次感染，拷贝出的文件务必在隔离区进行处理。严格禁止将可能被感染的硬盘通过IDE、SATA等主板接口直接挂载至拷贝 机，以防止拷贝机使用此硬盘启动，从而导致可能的被感染行为。对网络中现有的、曾经接入过的所有windows主机都应当采取上述方法进行 重要文件备份。物理拷贝流程结束后，按照：三、主机应急检测策略 进行应急检测处理。对于暂时没有上述条件的或因某些情况必须开机的，务必保证在脱离办公网 络环境下保持接入互联网开机（例如4G网络、普通宽带等），同时必须做到全 程保持互联网畅通。一（接入互联网成功的标准为：可以在浏览器中打开以下网站，并看到如图所示内容： HYPERLINK

3、www iuqerfsod p9ifj a posdfj h g osu rij sinkhole.tech - where the bots party hard and the researchers harder.对于无法接入互联网的涉密机，务必在内网配置web服务器，并将上述域名 解析至可访问的内网服务器中。此内网服务器的主页务必返回以下内容:sinkhole.tech - where the bots party hard and the researchers harder. 在临时开机处理结束后，关机并进行物理拷贝流程三、主机应急检测策略针对物理拷贝结束后的主机，需进行以下处理：

4、检测被挂载硬盘的windows目录，查看是否存在文件：mssecsvc.exe，如果 存在则证明被感染。针对其他已开机的主机，检查系统盘windows目录中是否存在文件： mssecsvc.exe；检查系统中是否存在服务mssecsvc2.0 （具体操作见本部分结 尾）。存在任何之一则证明已受感染。针对存在防火墙其他带有日志功能设备的网络，检查日志中是否存在对域 名： HYPERLINK 的解析，若存在贝。 证明网络内存在被感染主机。针对检测出的受感染主机，务必在物理拷贝流程结束后对所有硬盘进行格式 化处理。类似主机如果存在2017/4/13之前的备份，可进行全盘恢复操作（包含系统 盘以及其他

5、全部），在此时间之后的备份可能已被感染，不得进行恢复。针对已知存在受感染主机的网络，禁止打开已关闭主机，同时对此类主机进 行物理拷贝流程。对于已开机的主机，立即进行关机，并进行物理拷贝流程。附：检查服务的方法：按window + R键打开“运行”窗口:输入services.msc回车，打开服务管理页面:检查“名称”一栏中所有项目，存在mssecsvc2.0则表明被感染。四、未受感染主机应急防御策略针对未受感染的主机，存在以下四种应急防御策略。其中 策略一为最有效的防御手段，但耗时较长。其他策略为临时解决方案 供无法实行策略一时临时使用。应用策略二或策略三的主机将无法访问网络中的共享，请慎重使用

6、。在无法立即应用策略一时，建议首先应用策略四进行临时防御。无论使用了 哪种临时策略，都必须尽快应用策略一以做到完整防御。针对windows 10版本之下的主机，建议升级至windows 10并更新系统至最 新版本。因情况无法升级的，务必使用一种应急防御策略进行防御。策略一：安装MS17-010系统补丁根据系统版本，安装ms17-010漏洞补丁。其中windows 7以及更高版本可 以通过自动更新安装全部补丁获得，windows xp、windows 2003以及windows vista可以通过安装随文档提供的临时工具获得。此补丁微软提供的官方下载地址为： HYPERLINK /msrc/20

7、17/05/12/customer-guid /msrc/2017/05/12/customer-guid ance-for-wannacrypt-attacks/策略二：关闭漏洞相关服务可通过专业人员使用以下命令对漏洞相关服务进行关闭:sc stop LmHostssc stop lanmanworkstationsc stop LanmanServersc config LmHosts start二DISABLEDsc config lanmanworkstation start=DISABLED sc config LanmanServer start= DISABLE策略三：配置防火墙

8、禁止漏洞相关端口针对windows 2003或windows xp系统，点击开始菜单，并打开控制面板在控制面板中双击windows防火墙”选项，点击“例外”选项卡，取消勾 选“文件和打印机共享”，并点击确定。针对windows 7及以上系统，点击开始菜单，打开“控制面板”，点击“系 统和安全” “Windows防火墙”。在windows防火墙配置页面，点击“允许程序或功能通过windows防火墙” 选项，点击上方的“更改设置”：在列表中找到“文件和打印机共享”的复选框，取消勾选，最后点击确定。策略四：使用漏洞防御工具360公司提供了蠕虫免疫工具进行临时防御，此工具可以在360网站下载。直接执行

9、此工具即可进行简单的临时防御，每次重启主机都必须重新执行此 工具。五、公网服务器与网络应急安全防御策略针对公网服务器（例如网站、公开系统等）多数可以连接至互联网，对于 windows 2008 r2及更高版本的服务器，建议打开系统的“自动更新”功能， 并安装全部漏洞补丁。对于windows 2003服务器，可选择未受感染主机应急防御策略中的策略一进行防御同时建议尽快升级至更高版本的服务器（如windows 2008 r2 等）。针对内部网络，需要在保证主机安全的情况下防止可能的传染。无需使用共享功能的，可在防火墙、路由器等设备上禁止445端口的访问。由于此蠕虫使用域名： HYPERLINK 作为发作开关， 在无法访问此域名时即刻发作。因此，禁止在防火墙、IPS等网络安全设备上拦 截该域名，否则会触发已感染主机的加密流程，造成不可挽回的损失。使用内网私有dns的，务必配置此域名的解析，并将其指向