安天应对勒索软件“wannacry”配置指南

安天应对勒索软件“wannacry”配置指南。

一、 概述

鉴于病毒还在全面传播，如暂时无法进行系统处置，内网用户应尽量先断网关机，等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。

经过安天CERT紧急分析，判定该勒索软件是一个名称为“wannacry”的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。

二、 防护解决方案2.1 关于尚未感染的用户群体的详细防护步骤如下：

l 关闭网络，开启系统防火墙;

l 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;

l 打开网络，开启系统自动更新，并检测更新进行安装;

2.1.1 Win7、Win8、Win10的处理流程：

1) 关闭网络

2) 打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

3) 选择启动防火墙，并点击确定

4) 点击高级设置

5) 点击入站规则，新建规则，以445端口为例

6) 选择端口、下一步

7) 选择特定本地端口，输入445，下一步

8) 选择阻止连接，下一步

9) 配置文件，全选，下一步

10) 名称，可以任意输入，完成即可。

11) 恢复网络

12) 开启系统自动更新，并检测更新进行安装

注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。

2.1.2 XP系统的处理流程

1. 依次打开控制面板，安全中心，Windows防火墙，选择启用

2. 通过注册表关闭445端口，单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。

3. 找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

4. 将DWORD值命名为“SMBDeviceEnabled”，值修改为0。

5. 重启机器，查看445端口连接已经没有了。

6. 鉴于本次Wannacry蠕虫事件的影响巨大，微软总部决定对已停服的XP和部分服务器版本发布特别补丁，

微软公告详情https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

经验证，XP系统补丁有效。

2.2 关于已感染的用户群体的补救措施

目前无法解密该勒索软件加密的文件，但不建议用户向勒索者支付赎金。

如果发现内网有感染的机器，将其及时断网关机隔离处理。同时通告运维人员切断内网的网络连接(如关闭交换机等网络连接设备)，避免勒索软件的进一步扩散，内网的有关机器尽量做到断网关机，等候使用离线工具处理。

如有重要文件数据幸存，做好备份处理。但并不能说明备份的数据中没有被感染，存储到磁盘后，同样等候使用离线工具处理。