Windows永恒之蓝勒索病毒(wannacry)处理指南.doc

Windows永恒之蓝勒索病毒（wannacry） 处理指南 一. 病毒说明 近期互联网出现大量勒索软件感染情况，磁盘文件会被病毒加密，该勒索软件是此前活跃的勒索软件Wallet的一类变种，运用了高强度的加密算法难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，对工作资料和个人数据造成严重损失。根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。 国家计算机病毒应急处理中心在5月13日发布了关于该病毒的紧急预警： 关于“wannacry”勒索软件的紧急预警（2017.5.13） 日前，国家计算机病毒应急处理中心通过对互联网的监测，发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延，截至目前，该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析，判定该勒索软件是一个名为“wannacry”的新家族，基于445端口的SMB漏洞（MS17-101）进行传播，攻击者利用该漏洞，针对关闭防火墙的目标机器，通过445端口发送预先设计好的网络数据包文，实现远程代码执行。当系统被该勒索软件感染后，一是会弹出勒索对话框，采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件；二是会将自身复制到系统的每个文件夹下，并重命名为“@WanaDecryptor@.exe”；三是生成随机IP并发起新的网络攻击。 由于该勒索软件的加密强度大，目前被加密的文件还无法解密恢复。针对遭受攻击的情况，建议采取如下措施： 1、在无法判断是否感染该勒索软件的情况下，立即断网，检查电脑主机，修复MS17-010漏洞、关闭445端口。 2、对已经感染勒索软件攻击的机器建议立即隔离处置，防止感染范围进一步扩大。 3、出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务。 4、及时备份重要业务系统数据，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。 5、目前亚信、安天、360、北信源、瑞星5家公司已经研发出针对该病毒的最新专杀工具。 亚信专杀下载地址(32位)：http://support.asiainfo- 亚信专杀下载地址（64位）：http://support.asiainfo- 亚信专杀使用说明：http://support.asiainfo- 安天专杀下载地址： 安天免疫下载地址： 安天应对说明链接： 360公司免疫工具下载链接： 360公司专杀工具下载链接： 北信源公司专杀免疫工具和说明下载链接： 瑞星免疫工具下载链接： 瑞星免疫工具+杀软下载链接： 二. 解决办法 该病毒主要通过windows的漏洞进行传播，对于这种情况，主要有以下解决办法： 1、升级官方补丁，修复漏洞； 2、关闭相应windows服务，阻断入侵； 3、通过防火墙关闭服务端口，阻止入侵； 建议升级官方补丁治标治本，并且同时开启防火墙关闭不经常使用的端口，提高安全性。 国内知名安全厂商360，针对本次事件推出了360 nsa武器库免疫工具包，可以提供检测及安装服务，如果检测不通过，会有如下提示： 在安装完补丁后，再次检测就可以通过。 360nsa武器库免疫工具下载地址： 2.1、 升级补丁 根据微软官方详细的补丁说明下载相应补丁，详细链接如下： 针对windows XP、windows 2003 、windows 8系统，微软虽然已经停止提供服务，但是因本次影响极大，官方仍然推出了补丁，顶下微软，下载链接如下：   360也推出了“永恒之蓝”勒索蠕虫漏洞修复工具： 针对不同的操作系统版本，安装过程基本一致，但是有3点需要注意： 1、确认操作系统版本，并注意操作系统是32位还是64位，对于服务器操作系统，还存在安腾版本，需下载指定的版本补丁，否则无法安装。 2、对于部分版本的操作系统有Service Pack的要求，对于这种情况，需要先将操作系统升级至指定的Service Pack版本后，才可以打补丁，否则无法安装。 3、补丁安装完毕后，需重启服务器生效。 补丁对操作系统Service Pack要求及补丁号见下表： 操作系统 系统版本 Service Pack要求 补丁号 备注 Windows Vista 32位 SP2 4012598 　 Windows Vista 64位 SP2 4012598 　 Windows Server 2008 32位 SP2 4012598 　 Windows Server 2008 64位 SP2 4012598 　 Windows Server 2008 安腾 SP2 4012598 　 Windows 7 32位 SP1 4012212 　 Windows 7 64位 SP1 4012212 　 Windows Server 2008 R2 64位 SP1 4012212 　 Windows Server 2008 R2 安腾 SP1 4012212 　 Windows 8 32位 　 4012598 　 Windows 8 64位 　 4012598 　 Windows 8.1 32位 　 4012213 　 Windows 8.1 64位 　 4012213 　 Windows Server 2012 64位 　 4012214 　 Windows Server 2012 R2  64位 　 4012213 　 Windows 10 32位 　 4012606 　 Windows 10 64位 　 4012606 　 Windows 10 1511版本 32位 　 4013198 　 Windows 10 1511版本 64位 　 4013198 　 Windows 10 1607版本 32位 　 4013429 　 Windows 10 1607版本 64位 　 4013429 　 Windows XP 32位 SP3 4012598 　 Windows XP 64位 SP2 4012598 　 Windows 2003 32位 SP2 4012598 　 Windows 2003 64位 SP2 4012598 　 Windows 2003 R2 32位 SP2 4012598 　 Windows 2003 R2 64位 SP2 4012598 　 Service Pack版本升级过程，每次升级完成后需要重启才能进行下一步升级： 当前系统版本 升级目标版本 Windows XP Windows XP x86 Windows XP x86 SP3（先升级到SP2，然后升级到SP3） Windows XP x86 SP1 Windows XP x86 SP3 Windows XP x86 SP2 Windows XP x86 SP3 Windows Server 2003 x86 Windows Server 2003 x86 Windows Server 2003 x86 SP2 Windows Server 2003 x86 SP1 Windows Server 2003 x86 SP2 Windows Vista Windows Vista x86 Windows Vista x86 SP2（先升级到SP1，然后升级到SP2） Windows Vista x86 SP1 Windows Vista x86 SP2 Windows 7 Windows 7 x86 Windows 7 x86 SP1 Windows 7 x64 Windows 7 x64 SP1 Windows Server 2008 Windows Server 2008 x86 Windows Server 2008 x86 SP2 Windows Server 2008 x86 SP1 Windows Server 2008 x86 SP2 Windows Server 2008 R2 Windows Server 2008 R2 x64 Windows Server 2008 R2 x64 SP1 2.2、 关闭服务及启用防火墙 如果因其他原因无法安装操作系统补丁，建议关闭相关服务并启用防火墙。 关闭服务具体操作办法见下： 也可以参考下面，在我的电脑（或计算机、这台计算机）点右键，选择管理。 在左侧菜单找到服务。 点击服务后，在右侧窗口找到Server服务，单击Server服务，右键属性，先选择停止服务，接着将这个服务禁用。 也可以通过组策略来控制，具体办法如下： 开启防火墙并阻止端口办法如下： a)、关闭从控制面板进入Windows防火墙，进入高级设置，在入站规则上单击右键新建入站规则，选择规则类型为端口如图，选择下一步。 b)、在协议类型选择TCP，端口选择特定本地端口，填入 135,137,138,139,445端口用逗号分开如图，选择下一步。 c)、在规则操作步骤，选择阻止连接，选择下一步，在配置文件步骤选择所有可以应用的网络，继续下一步，填写规则名称TCPXXXX并完成如图。 1. 4 d)、同理重复，创建名为UDPXXXX，且协议类型为UDP的规则（其他选项同前的步骤），并应用，可以看到防火墙中多了2条规则，如图。 2.3、 Windows 2000系统的处理 对于windows 2000服务器系统，微软官方没有提供补丁，可以通过关闭服务、关闭端口、开启防火墙等办法解决， 2.3.1、关闭服务 过程和2.2类似 2.3.2、开启防火墙 Windows 2000没有自带防火墙，需要安装第三方防火墙软件，关闭相应端口的访问 2.3.3、关闭端口 关闭之前，使用netstat –an | find “445”检查端口是否处于监听状态 在运行窗口输入regedit，进入注册表，添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD value: 0 修改完后重启机器，运行netstat –an|find “445”，发现445端口已经没有监听。 三. 常见系统补丁安装 3.1 Windows xp 查看操作系统版本，右键单击桌面的“我的电脑”，然后单击“属性” 如果未看到列出“64-Bit”，则表示运行的是 32 位版本的 Windows XP，根据下表，检查Service Pack是否符合要求，如果不符合要求，需先升级到指定Service Pack。 操作系统 系统版本 SERVICE PACK要求 补丁号 备注 Windows XP 32位 SP3 4012598 　 Windows XP 64位 SP2 4012598 　 安装完毕后，重启计算机，通过控制面板中的添加删除程序并勾中显示更新，确认补丁已安装完毕。 3.2 Windows7 查看操作系统版本，右键单击桌面的“计算机”图标，然后单击“属性” 通过系统类型判断是32位还是64位操作系统。 根据下表，检查Service Pack是否符合要求，如果不符合要求，需先升级到指定Service Pack。 操作系统 系统版本 Service Pack要求 补丁号 备注 Windows 7 32位 SP1 4012212 　 Windows 7 64位 SP1 4012212 　 安装完毕后，重启计算机，通过控制面板中的程序-查看已安装的更新，确认补丁已安装完毕。 3.3 Windwos 8 查看操作系统版本，按如下操作 (1)鼠标放在右下角就会出现如下图所示：点击【设置】 (2)进入WIN8设置中再点击【更改电脑设置】 (3)如下图所示：点击【电脑和设备】 (4)在电脑和设备界面中点击【电脑信息】就可以看得到Win8的版本了 操作系统版本为window 8 使用windows 8版本官方补丁，操作系统版本为windows 8.1使用windows 8.1版本官方补丁。 通过系统类型判断是32位还是64位操作系统。 Windwos 8: 操作系统版本: 补丁号 Windows 8 32位 4012598 Windows 8 64位 4012598 Windows 8.1 : 操作系统版本: 补丁号 Windows 8.1 32位 4012213 Windows 8.1 64位 4012213 安装完毕后，重启计算机，通过控制面板中的程序---->程序和功能---->查看已安装的更新，确认补丁已安装完毕。 3.4 Windows 10 查看操作系统版本，点击桌面左下角windows图标---->点击设置------>系统------>鼠标拖到最下点击关于 显示: 需要注意的win10有3个版本，通过以上的版本信息来确认使用哪个版本的补丁。通过系统类型判断是32位还是64位操作系统。 操作系统 系统版本 Service Pack要求 补丁号 备注 Windows 10 32位 　 4012606 　 Windows 10 64位 　 4012606 　 Windows 10 1511版本 32位 　 4013198 　 Windows 10 1511版本 64位 　 4013198 　 Windows 10 1607版本 32位 　 4013429 　 Windows 10 1607版本 64位 　 4013429 　 安装完毕后，重启计算机，通过控制面板中的程序---->程序和功能---->查看已安装的更新，确认补丁已安装完毕。 3.5 Windows 2008 查看操作系统版本，右键单击桌面的“计算机”图标，然后单击“属性” 需要注意的Windows 2008有2个版本，通过以上的版本信息来确认使用哪个版本的补丁。通过系统类型判断是32位还是64位操作系统。 根据下表，检查Service Pack是否符合要求，如果不符合要求，需先升级到指定Service Pack。 操作系统 系统版本 Service Pack要求 补丁号 备注 Windows Server 2008 32位 SP2 4012598 　 Windows Server 2008 64位 SP2 4012598 　 Windows Server 2008 安腾 SP2 4012598 　 Windows Server 2008 R2 64位 SP1 4012212 　 Windows Server 2008 R2 安腾 SP1 4012212 　 安装完毕后，重启计算机，通过控制面板中的程序-查看已安装的更新，确认补丁已安装完毕。 3.6 Windows 2003 查看操作系统版本，点击“开始”-“运行”，输入“winmsd.exe”并按回车键，即打开系统信息窗口，在系统摘要栏目中找到项目“系统类型”，若对应的数值为“基于x86的PC”，则系统为32位，否则为64位。 安装完毕后，重启计算机，通过控制面板中的添加删除程序并勾中显示更新，确认补丁已安装完毕。 3.7 Windows 2012 查看操作系统版本，右击“这台电脑”，选择属性。 需要注意的windows 2012有2个版本，通过以上的版本信息来确认使用哪个版本的补丁。 操作系统 系统版本 Service Pack要求 补丁号 备注 Windows Server 2012 64位 　 4012214 　 Windows Server 2012 R2  64位 　 4012213 　 安装完毕后，重启计算机，通过控制面板中的程序---->程序和功能---->查看已安装的更新，确认补丁已安装完毕。