勒索者蠕蟲病毒WannaCry應急處理方案

最近筆者所在的公司的安全部門向全員發了一封應對WannaCry病毒的郵件，郵件大致是預防過程和比較實用的安裝包。

這個病毒目前來看還沒有破解方法。

但是可以從根本上預防。

先粘出來，供大家參考。

如果需要安裝包的話，下方回復接受安裝包的郵箱或者關注頭條號私信筆者，筆者會在第一時間傳給大家的（因為筆者公司封掉了百度雲，所以暫時無法上傳到百度雲，不好意思哈）。

一、病毒影響範圍

MS17-010漏洞主要影響以下作業系統：Windows 2000，Windows 2003，Windows2008，Windows2012，Windows XP，Windows Vista，Windows7，Windows8，Windows10。

二、應急解決方案

對於未開機或未被感染的計算機：

第一步：斷開網絡（拔掉網線）；

第二步：使用U盤或光碟自帶的PE系統啟動電腦，將計算機中所有重要文件（尤其文檔、圖片、照片、壓縮包、音頻、視頻等）備份到移動存儲設備上。

第三步：開啟系統防火牆，並利用系統防火牆高級設置阻止向445埠進行連接。

第四步：對系統進行ms17010、ms10061、ms14068、ms08067、ms09050補丁更新。

安全補丁網址為 https://technet.microsoft.com/zh-cn/library/security/MS17-010。

對於 windows XP、Windows 2003 等更加久遠的系統，微軟則不再提供安全補丁，請通過關閉埠的方式進行防護。

已感染病毒機器請立即斷網，避免進一步傳播感染。

三、啟動防火牆及阻止135、137、138、139、445埠處理流程

3.1 關閉埠方法

1、運行 輸入「dcomcnfg」；

2、在「計算機」選項右邊，右鍵單擊「我的電腦」，選擇「屬性」；

3、在出現的「我的電腦屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啟用分布式 COM」前的勾；

4、選擇「默認協議」選項卡，選中「面向連接的TCP/IP」，單擊「刪除」按鈕。

3.2 關閉 135、137、138 埠

在網絡鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網絡選項卡，去掉 Microsoft 網絡的文件和印表機共享，以及 Microsoft 網絡客戶端的複選框。

這樣就關閉了共享端 135 、137、138埠。

3.3 關閉 139 埠

139 埠是 NetBIOSSession 埠，用來文件和列印共 享。

關閉 139 的方法是：在「網絡和撥號連接」中的「本地連接」中，選取「Internet協議 (TCP/IP)」屬性，進入「高級 TCP/IP 設置」「WINS設置」裡面，有一項「禁用TCP/IP的 NETBIOS 」，打勾就可關閉 139 埠。

3.4 關閉 445 埠

開始-運行輸入 regedit. 確定後定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建名為「SMBDeviceEnabled」的DWORD值，並將其設置為 0，則可關閉 445 埠。

也可運行附件的批處理文件，運行即可關閉137、138、139、445等埠。

四、手工查殺方法

檢查步驟：

1、 首先，使用任務管理器查找如下檢查，並結束進程，進程可能包括：

l taskhsvc.exe

l @[email protected]

l taskdl.exe

l taskse.exe

l tasksche.exe

2、刪除自動註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中惡意項，其值是 tasksche.exe

3、 通過文件搜索查找所有命名為@[email protected]的文件，接著刪除系統所有的 @[email protected]。

4、 刪除所有以.wnry命名的文件

5、 另外，其它不會對系統有影響的的文件如：

@[email protected]和@[email protected]等也可疑刪除。

6、 重啟電腦。

如果還有問題，請重複1到5 這個過程。

備註：所有被加密的文件命名為「＊.WNCRY」

五、如何分辨是否中毒：

當系統被該勒索軟體入侵後，會彈出勒索對話框：

或在桌面及各個文件夾內出現以下文件：

該病毒目前沒有專殺工具，加密文件無法暴力破解。

如不幸感染病毒，系統中有重要文件的請等待解密工具，沒有重要文件的可以選擇格式化全盤並重做系統。

該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行「本地化」。

會將自身複製到每個文件夾下，並重命名為「@[email protected]」。

同時衍生大量語言配置等文件，該勒索軟體AES和RSA加密算法，加密的文件以「WANACRY!」開頭，加密如下後綴名的文件：

鑒於本次勒索者蠕蟲病毒WannaCry 主要針對Windows系統，對個人電腦危害極大，目前爆發在周末，但是周一上班將是個人電腦病毒爆發的高峰，建議組織形式的公司的話，各運維團隊在網際網路出口防火牆關閉對內、對外的135、137、139、445等埠的訪問，等組織形式的公司自查完畢，補丁升級或埠確認關閉後，再逐步開放如上埠的訪問。

自查工具連結：

安天蠕蟲病毒WannaCry免疫工具和掃描工具下載地址為：http://www.antiy.com/tools.html