Wana 新型惡意軟體病毒爆發，你能中招了嗎？告訴您如何處理

Wana 新型惡意軟體爆發：本次爆發的勒索軟體是一個名稱為「wannacry」的新家族，目前無法解密該勒索軟體加密的文件。

黑客利用 NSA 黑客武器庫泄漏的「永恆之藍」工具發起的網絡攻擊事件：大量伺服器和個人 PC 感染病毒後被遠程控制，被安裝勒索軟體，磁碟文件會被病毒加密為.onion 或者.WNCRY 後綴，用戶只有支付高額贖金後才能解密恢復文件，對各級單位及企業重要文件數據造成嚴重損失。

「EternalBlue」工具利用的是微軟 Windows 作業系統的SMBv1 協議中的安全漏洞。

未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出，導致在目標機器上遠程執行任意代碼。

「永恆之藍」工具會掃描開放 445 文件共享埠的 Windows機器，只要用戶開機上網，黑客就可能在電腦和伺服器中植入勒索軟體。

已經有大量網絡的用戶報告個人 PC 被安裝了勒索軟體。

此外，根據國外媒體的報導，目前英國、美國、俄羅斯、西班牙、義大利、越南、台灣等國家和地區也出現了被感染的情況。

影響範圍

MS17-010 漏洞主要影響以下作業系統：

桌面版本作業系統：

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10

伺服器版本作業系統：

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016

應急處置措施

（一）對於已經感染的系統斷開已經感染的主機系統的網絡連接，防止進一步擴散；優先檢查未感染主機的漏洞狀況，做好漏洞加固工作後方可恢復網絡連接。

已經感染終端，根據終端數據重要性決定處置方式，如果重新安裝系統則建議完全格式化硬碟、使用全新作業系統、完善操作系統補丁、安裝防病毒軟體並通過檢查確認無相關漏洞後再恢復網絡連接。

（二）對於未感染的系統

注意：以下操作有先後順序，請逐步開展。

[*非常重要*] 拔掉網線之後再開機啟動；

做好重要文件的備份工作（最好備份到存儲介質中）；

開啟系統防火牆，並設置阻止向 445 埠進行連接，可以使

用以下命令開展：

方法一：

echo "請務必以管理員身份運行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in

protocol=tcp localport=445 action=block

方法二：

Windows 32 位關閉 445 埠批處理（bat）：

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Pa

rameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc con

fig LanmanServer start= disabled&&net stop lanmanserver /y

Windows x64 位關閉 445 埠批處理（bat）：

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Pa

rameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc con

fig LanmanServer start= disabled&&net stop lanmanserver /y

新建文本文檔，然後複製以上腳本內容，另存為【.bat】格式的文件，並右鍵【管理員運行】，待 CMD 對話框消失後，重啟電腦即可。

如無必需，建議關閉 SMB 共享服務；

打開系統自動更新，並檢測系統補丁進行安裝，如果是內網環境可以採用離線補丁方式更新；

安裝殺毒軟體並升級病毒庫；增強個人主機病毒防範意識，不隨意打開位置來源的文件，關閉移動存儲自動播放功能等。

（三）網絡層防護

邊界交換機、路由器、防火牆等設備禁止雙向 135/137/139/445 埠的 TCP 連接。

內網核心主幹交換路由設備禁止雙向 135/137/139/445 埠的 TCP 連接。

更新入侵防禦、入侵檢測、APT 安全設備漏洞庫，開啟防禦策略。

離線補丁下載地址

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/

windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4

b7349ff54b51677f36775.exe

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/

windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c8358

3053d37b20edf5f041ecede54b80.exe

Security Update for Windows Server 2003 for x64 Systems

(KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/

windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e

911af59c2ee133baee8de11316b9.exe

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/so

ftware/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971b

b58ae4bac44219e7169812914df3f.msu

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/so

ftware/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2

058dcd965702509a992d8c4e92b3.msu

Security Update for Windows Server 2008 R2 x64

(KB4012212)

http://download.windowsupdate.com/d/msdownload/update/so

ftware/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2

058dcd965702509a992d8c4e92b3.msu

Security Update for Windows10 ()

http://download.windowsupdate.com/c/msdownload/update/so

ftware/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2f

f92919d3fac069619e4a8e8d3492e.msu

Security Update for Windows10 x64 ()

http://download.windowsupdate.com/c/msdownload/update/so

ftware/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee0

8c3bb0a8ab2c5ce6be5b35127f8773.msu

以上內容來自公司應對病毒緊急處置文件，如有侵權，敬請諒解。

僅提供方式方法，供廣大粉友使用，不提供現場服務。

還不會，請諮詢周圍的電腦大枷。