文档介绍:2017年5月14日应对WannaCry/Wcry***病毒开机指南尊敬的用户:您好!2017年5月12日起,全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入***软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!由于病毒在周五晚8点左右爆发,尚有很多电脑处于关机状态,周一工作日开机需谨慎对待,建议用户周一开电脑之前先拔掉网线。周一开机指南防护第一关,开关域名免疫(建议IT部门员工操作)亚信安全研究发现,该***病毒运行后会首先请求一个秘密开关域名[].com(注意,“[]”是为了防止误操作点击刻意添加,实际域名中无“[]”),请求失败后即开始执行加密;相反,请求成功后立即退出,不执行加密。如果企业内网机器没有互联网访问权限,建议用户在内网修改此开关域名[].com的内网解析,并且将解析IP指向企业内部在线的web服务器,从而实现免疫。如果内网机器具有互联网访问权限,则无须采取额外措施。(注意:以上方法在已知样本中测试有效,未知样本可能无效。)开机前准备工具(建议IT部门员工操作)下载亚信安全MS17-010局域网扫描工具,扫描局域网哪些机器没有打MS17-010漏洞对应的补丁程序,便于管理员有针对性的处理没有打补丁机器。亚信安全局域网扫描工具工具下载地址:-/Anti-Virus/Tool/亚信科技局域网MS17-010***,扫描局域网中哪些机器开放了445端口,便于管理员有针对性的处理打开445端口的机器。亚信安全端口扫描工具工具下载地址:-/Anti-Virus/Tool/***病毒免疫工具,该工具可以关闭***病毒利用漏洞服务及445端口,还可以下载MS17-010对应的补丁程序,下载清除工具,下图为工具运行界面:WannaCry/Wcry***病毒免疫工具免疫工具下载地址:-/Anti-Virus/Tool/***病毒专杀工具,下载地址:32位系统-/Anti-Virus/Tool/://-/Anti-Virus/Tool/,下载地址:-/Anti-Virus/Clean-Tool//(XP和WindowsServer2003),请下载微软发布的针对停止服务系统的特别安全补丁。详细信息请参考链接:https://blogs../msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/下载MS17-010对应的MicrosoftWindowsSMB服务器安全更新(4013389)补丁程序。详细信息请参考链接:(https://./library/security/MS17-010)对亚信安全产品服务器端进行配置:亚信安全OSCE启用防火墙功能,关闭445等相关端口启用防火墙配置防火墙加入禁止445端口访问的规则。策略配置后,会使用禁止445端口数据包启动爆发阻止功能,禁止端口和具体病毒文件写入系统。启用爆发阻止,设置时间为65535(长期)封闭端口(双向)在爆发阻止中禁止对文件和文件夹写入,添加如下文件禁止写入。。启用爆发阻止,确定“爆发阻止启动时通知用户”勾选时,用户会收到如下通知,不勾选则不会通知客户端