首先確認(rèn)主機(jī)是否被感染

被感染的機(jī)器屏幕會(huì)顯示如下的告知付贖金的界面：

如果主機(jī)已被感染：

則將該主機(jī)隔離或斷網(wǎng)(拔網(wǎng)線)。若客戶存在該主機(jī)備份，則啟動(dòng)備份恢復(fù)程序。

如果主機(jī)未被感染：

則存在四種方式進(jìn)行防護(hù)，均可以避免主機(jī)被感染。針對(duì)未感染主機(jī)，方式二是屬于徹底根除的手段，但耗時(shí)較長;其他方式均屬于抑制手段，其中方式一效率最高。

從響應(yīng)效率和質(zhì)量上，360 建議首先采用方式一進(jìn)行抑制，再采用方式二進(jìn)行根除。

方式一：啟用蠕蟲快速免疫工具

免疫工具的下載地址：http://dl.b.360.cn/tools/OnionWormImmune.exe

請(qǐng)雙擊運(yùn)行 OnionWormImmune.exe 工具，并檢查任務(wù)管理器中的狀態(tài)。

方式二：針對(duì)主機(jī)進(jìn)行補(bǔ)丁升級(jí)

請(qǐng)參考緊急處置工具包相關(guān)目錄并安裝 MS17-010 補(bǔ)丁，微軟已經(jīng)發(fā)布winxp_sp3 至 win10、win2003 至 win2016 的全系列補(bǔ)丁。

微軟官方下載地址：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

快速下載地址：

https://yunpan.cn/cXLwmvHrMF3WI 訪問密碼 614d

方式三：關(guān)閉 445 端口相關(guān)服務(wù)

點(diǎn)擊開始菜單，運(yùn)行，cmd，確認(rèn)。

輸入命令 netstat –an 查看端口狀態(tài)

輸入 net stop rdr 回車

net stop srv 回車

net stop netbt 回車

再次輸入 netsta –an，成功關(guān)閉 445 端口。

方式四：配置主機(jī)級(jí) ACL 策略封堵 445 端口

通過組策略 IP 安全策略限制 Windows 網(wǎng)絡(luò)共享協(xié)議相關(guān)端口

開始菜單->運(yùn)行，輸入 gpedit.msc 回車。打開組策略編輯器

在組策略編輯器中，計(jì)算機(jī)配置->windows 設(shè)置->安全設(shè)置->ip 安全策略 下，　　在編輯器右邊空白處鼠標(biāo)右鍵單擊，選擇“創(chuàng)建 IP 安全策略”

下一步->名稱填寫“封端口”，下一步->下一步->勾選編輯屬性，并點(diǎn)完成

去掉“使用添加向?qū)А钡墓催x后，點(diǎn)擊“添加”

在新彈出的窗口，選擇“IP 篩選列表”選項(xiàng)卡，點(diǎn)擊“添加”

在新彈出的窗口中填寫名稱，去掉“使用添加向?qū)А鼻懊娴墓?#xff0c;單擊“添加”

在新彈出的窗口中，“協(xié)議”選項(xiàng)卡下，選擇協(xié)議和設(shè)置到達(dá)端口信息，并點(diǎn)確定。

重復(fù)第 7 個(gè)步驟，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。添加全部完成后，確定。

選中剛添加完成的“端口過濾”規(guī)則，然后選擇“篩選器操作”選項(xiàng)卡。

去掉“使用添加向?qū)А惫催x，單擊“添加”按鈕

1. 選擇“阻止”

2. 選擇“常規(guī)”選項(xiàng)卡，給這個(gè)篩選器起名“阻止”，然后“確定”。點(diǎn)擊

3. 確認(rèn)“IP 篩選列表”選項(xiàng)卡下的“端口過濾”被選中。確認(rèn)“篩選器操作”選項(xiàng)卡下的“阻止”被選中。然后點(diǎn)擊“關(guān)閉”。

4. 確認(rèn)安全規(guī)則配置正確。點(diǎn)擊確定。

5. 在“組策略編輯器”上，右鍵“分配”，將規(guī)則啟用。

第2章 核心網(wǎng)絡(luò)設(shè)備應(yīng)急處置操作指南

大型機(jī)構(gòu)由于設(shè)備眾多，為了避免感染設(shè)備之后的廣泛傳播，建議利用各網(wǎng)絡(luò)設(shè)備的 ACL 策略配置，以實(shí)現(xiàn)臨時(shí)封堵。

該蠕蟲病毒主要利用 TCP 的 445 端口進(jìn)行傳播, 對(duì)于各大企事業(yè)單位影響很大。為了阻斷病毒快速傳播, 建議在核心網(wǎng)絡(luò)設(shè)備的三層接口位置, 配置 ACL 規(guī)則從網(wǎng)絡(luò)層面阻斷 TCP 445 端口的通訊。

以下內(nèi)容是基于較為流行的網(wǎng)絡(luò)設(shè)備，舉例說明如何配置 ACL 規(guī)則，以禁止TCP 445 網(wǎng)絡(luò)端口傳輸，僅供大家參考。在實(shí)際操作中，請(qǐng)協(xié)調(diào)網(wǎng)絡(luò)管理人員或網(wǎng)絡(luò)設(shè)備廠商服務(wù)人員，根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境在核心網(wǎng)絡(luò)設(shè)備上進(jìn)行配置。

Juniper 設(shè)備的建議配置(示例):

set firewall family inet filter deny-wannacry term deny445 from protocol tcp

set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard

set firewall family inet filter deny-wannacry term default then accept

#在全局應(yīng)用規(guī)則

set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry

#在三層接口應(yīng)用規(guī)則

set interfaces [ 需要掛載的三層端口名稱 ] unit 0 family inet filter output deny-wannacry

set interfaces [ 需要掛載的三層端口名稱 ] unit 0 family inet filter input deny-wannacry

華三(H3C)設(shè)備的建議配置(示例):

新版本: acl number 3050

rule deny tcp destination-port 445 rule permit ip

interface [需要掛載的三層端口名稱] packet-filter 3050 inbound packet-filter 3050 outbound

舊版本: acl number 3050

rule permit tcp destination-port 445

traffic classifier deny-wannacry if-match acl 3050

traffic behavior deny-wannacry filter deny

qos policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry

#在全局應(yīng)用

qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound

#在三層接口應(yīng)用規(guī)則

interface [需要掛載的三層端口名稱]

qos apply policy deny-wannacry inbound

qos apply policy deny-wannacry outbound

華為設(shè)備的建議配置(示例):

acl number 3050

rule deny tcp destination-port eq 445 rule permit ip

traffic classifier deny-wannacry type and if-match acl 3050

traffic behavior deny-wannacry

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

interface [需要掛載的三層端口名稱] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound

Cisco 設(shè)備的建議配置(示例):

舊版本:

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

新版本:

ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

銳捷設(shè)備的建議配置(示例):

ip access-list extended deny-wannacry deny tcp any any eq 445

permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

第3章 互聯(lián)網(wǎng)主機(jī)應(yīng)急處置操作指南

采用快速處置方式，建議使用 360 安全衛(wèi)士的“NSA 武器庫免疫工具 ”，可一鍵檢測(cè)修復(fù)漏洞、關(guān)閉高風(fēng)險(xiǎn)服務(wù)，包括精準(zhǔn)檢測(cè)出 NSA 武器庫使用的漏洞

是否已經(jīng)修復(fù)，并提示用戶安裝相應(yīng)的補(bǔ)丁。針對(duì) XP、2003 等無補(bǔ)丁的系統(tǒng)版本用戶，防御工具能夠幫助用戶關(guān)閉存在高危風(fēng)險(xiǎn)的服務(wù)，從而對(duì) NSA 黑客武器攻擊的系統(tǒng)漏洞徹底“免疫”。

NSA 武器庫免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

原文發(fā)布時(shí)間為：2017年5月13日 本文來自云棲社區(qū)合作伙伴至頂網(wǎng)，了解相關(guān)信息可以關(guān)注至頂網(wǎng)。

總結(jié)

以上是生活随笔為你收集整理的针对“永恒之蓝（WannaCry）”攻击紧急处置手册的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。