针对永恒之蓝攻击紧急处置手册——蠕虫 WannaCry应急操作指南
第一章 针对感染主机的紧急处置
首先确认主机是否被感染:被感染的机器屏幕会显示要求付赎金的界面。
如果主机已被感染:请立即将该主机隔离或断开网络连接,如果存在主机备份,则启动备份恢复程序。
如果主机未被感染:为预防主机被感染,存在四种防护方式。其中,方式二属于彻底根除手段,但耗时较长;其他方式属于抑制手段,方式一效率最高。推荐首先采用方式一进行抑制,再采用方式二进行根除。
方式一:启用蠕虫快速免疫工具。请访问360安全中心下载OnionWormImmune.exe工具,并检查任务管理器中的状态。
方式二:针对主机进行补丁升级。请参考紧急处置工具包,安装MS17-010补丁。微软已发布涵盖winxp_sp3至win10、win2003至win2016的全系列补丁。
方式三:关闭445端口相关服务。通过命令行操作关闭端口。
方式四:配置主机级ACL策略封堵445端口。通过组策略IP安全策略限制Windows网络共享协议相关端口。
第二章 针对核心网络设备的应急处置
大型机构设备众多,为避免病毒广泛传播,建议利用各网络设备的ACL策略配置实现临时封堵。该蠕虫病毒主要利用TCP的445端口进行传播,对企事业单位影响巨大。建议在核心网络设备的三层接口位置配置ACL规则,从网络层面阻断TCP 445端口的通讯。
不同网络设备的具体配置方法:
Juniper设备:设置防火墙过滤规则,禁止TCP 445端口的传输。
华三(H3C)设备:创建ACL规则,禁止目标端口为445的TCP流量。
华为设备:创建访问控制列表(ACL),禁止TCP 445端口并应用到接口上。
Cisco设备:使用扩展的IP访问列表来禁止TCP 445端口的流量,并将其应用到接口上。
锐捷设备:创建扩展的IP访问列表来禁止TCP 445端口的流量,并将规则应用于接口。详细配置示例可参照文中所述。在实际操作中,请根据实际网络环境进行配置。
第三章 针对互联网主机的快速处置方式
建议使用360安全卫士的“NSA武器库免疫工具”,该工具可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。对于XP、2003等无补丁的系统版本用户,该防御工具能够帮助用户关闭存在高危风险的服务,彻底免疫NSA武器攻击的系统漏洞。工具的下载地址已在文中提供。请注意,在进行任何操作之前,请确保您了解相关风险并遵循最佳实践进行安全操作。在进行隔离或断网操作时请谨慎并遵循相关规定和流程以防止数据丢失或系统瘫痪等严重后果发生。
