CNCERT应对Windows操作系统勒索软件“WannaCry”处置手册

2017-05-14 20:39:10

安全公告编号:CNTA-2017-0040

一、确认主机是否被感染

被感染主机会在屏幕显示类似如下的支付赎金通知的界面:被感染主机会在屏幕显示类似如下的支付赎金通知的界面:

二、被感染主机处置流程

1)将该主机隔离或断网(拔网线);

2)使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;

3)重新安装操作系统,或者利用安天发布的专杀工具[1]清除主机中的勒索软件;

4)若采用专杀工具方式清除主机中勒索软件,则可以利用360发布的文件恢复工具[4]尝试恢复部分被勒索软件加密的文档;

5)根据未感染主机处置流程对主机进行安全防护;

6)若客户存在该主机备份,则启动备份恢复程序。

三、未感染主机处置流程

对于未感染主机,可以通过手动修改配置或者使用免疫工具进行防护,避免主机被感染。

1、手动修改系统安全配置

主要流程概括如下:

1)关闭网络,开启系统防火墙;

2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;

3)打开网络,开启系统自动更新,并检测更新进行安装。

1.1 Win7、Win8、Win10的处理流程

1)关闭网络

2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

3)选择启动防火墙,并点击确定

4)点击高级设置

5)点击入站规则,新建规则,以445端口为例

6)选择端口、下一步

7)选择特定本地端口,输入445,下一步

8)选择阻止连接,下一步

9)配置文件,默认全选,下一步

10)设置名称,可以任意输入,完成即可。

11)恢复网络

12)开启系统自动更新,并检测更新进行安装

注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。

1.2 XP系统的处理流程

1)依次打开控制面板,安全中心,Windows防火墙,选择启用

2)通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。

3)找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

4)将DWORD值命名为“SMBDeviceEnabled”,值修改为0。

5)重启机器,查看445端口连接已经没有了。

6)安装微软总部针对该漏洞(MS17-010)发布的特别补丁[5]。

2、使用安全公司发布的免疫工具进行防护

1)使用安天[2]或360[3]提供的检测免疫工具对系统进行快速免疫;

2)安装微软发布的MS17-010补丁[5]。

参考

[1]蠕虫勒索软件专杀工具(WannaCry)(安天提供): 

http://www.antiy.com/response/wannacry/ATScanner.zip

[2]蠕虫勒索软件免疫工具(WannaCry)(安天提供): 

http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

[3]“永恒之蓝”勒索蠕虫(WannaCry)检测工具(360提供)

http://b.360.cn/other/onionwormkiller

[4]勒索病毒份文件恢复工具(360提供):

https://dl.360safe.com/recovery/RansomRecovery.exe

[5]微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-WannaCrypt-attacks/

[6]安天应对勒索软件“wannacry”配置指南 

http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html

[7] 安天应对勒索软件“WannaCry”开机指南

http://www.antiy.com/response/Antiy_Wannacry_Guide.html

[8] 360针对“永恒之蓝”攻击紧急处置手册(蠕虫WannaCry)

http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458365