1、3(szssnj)20174fr05如13m第 頁共23頁第1章隔離網(wǎng)主機應(yīng)急處置操作指南首先確認主機是否被感染被感染的機器屏幕會顯示如下的告知付贖金的界面：如復(fù)程序。如果主機未被感染：則存在四種方式進行防護，均可以避免主機被感染。針對未感染主機，方式二是屬于徹底根除的手段，但耗時較長；其他方式均屬于抑制手段，其中方式一效率最高。從響應(yīng)效率和質(zhì)量上，360建議首先采用方式一進行抑制，再采用方式二進行根除。方式一：啟用快速免疫工具360勒索（永恒之藍、之石）免疫工具,免疫工具的下載地址（注內(nèi)含封445端口）： HYPERLINK 58:8443/sv_n/JLsgsj/%e5%b8%b8%e7%

2、94%a8%e8%bd%af%e4%bb%b6/360%25e 58:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e5%8b%92%e7%b4%a2（%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8b%e7%9f%b3）%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip采用快速處置方式，建議使用360安全衛(wèi)士的“NSA武器庫免疫工具”，可一鍵檢測修復(fù)漏洞、關(guān)閉高風(fēng)險服務(wù)，包括精準(zhǔn)檢測出NSA武器庫使用的漏洞是否已經(jīng)修復(fù)，并提示用戶安裝相應(yīng)

3、的補丁。針對XP、2003等無補丁的系統(tǒng)版本用戶，防御工具能夠幫助用戶關(guān)閉存在高危風(fēng)險的服務(wù)，從而對NSA黑客武器攻擊的系統(tǒng)漏洞徹底“免疫”。NSA武器庫免疫工具下載地址： HYPERLINK /nsa/nsatool.exe /nsa/nsatool.exe方式二：針對主機進行補丁升級請參考緊急處置工具包相關(guān)目錄并安裝MS17-010補丁，2008服務(wù)器版補丁下載地址： HYPERLINK 58:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/windo 58:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8

4、%bd%af%e4%bb%b6/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b(MS17-010%20).msu訪問密碼用戶名sgsj111111式三：關(guān)閉相關(guān)服務(wù)點擊開始菜單，運行，cmd，確認。輸入命令netstat-n查看端口狀態(tài):&ocuniontsamiSettInadni-rrpictstatAn入netstopr(3-7flddi-ess=UPorRigitMStateJSTFHTUGLlTLHLNCLIfliSNIhffiLISIEHIHCletiueQnneetinn4人i.inerstops

5、rv回車厶m詢!；的版權(quán)所有Microsoft乩”護-LquaIHddras-eR.0.R.0U350.;,|4=44S：L(937=13?0.0_3列4璃或ID.0.孔0：13罵Q.國一0一因：3百跑r?7.可”1=LE鼻i?.B.0_l=|L9Agi?2A6fl-232-d37=13719-2.life.211.137?13602.Ua.232.137：lfdB360第 頁共23頁172.U9.22.1774mil*urCPlPHet0I*SHnlpcr-適熒己戍功停止*PHCFCIUhcBiT7sffjr.Jgg卩皆非勢門氏功帶二C：xDoicumHnLB.豪“呱Sm11-intMl41

6、niiiribt丁朗的.眼那:就否NhU,悴I卜Nnthi.a$bu1-Tenipfc：Settinasxdn1atK任U呻k葉呃piBac-ijnnt?nhf-ctt：Ivryw7tn;leXi帝tn3113tsitiion=-JIJ&pfcstationrfl農(nóng)岳陛豹曲件？燈怦陽】；y再次輸入netsta-n,成功關(guān)閉445端口。方式四：配置主機級ACL策略封堵445端口通過組策略IP安全策略限制Windows網(wǎng)絡(luò)共享協(xié)議相關(guān)端口X第 頁共23頁開始菜單-運行，輸入gpedit.msc回車。打開組策略編輯器在組策略編輯器中，計算機配置-windows設(shè)置-安全設(shè)置-ip安全策略下,在編輯器

7、右邊空白處鼠標(biāo)右鍵單擊，選擇“創(chuàng)建IP安全策略”HK4I也畫眩剳日豈聞意也計凹1罰？jiu8耳5._的SSvVJindoiiVE，姐樁醫(yī)苗S;戈茫劇卻72J左全題,：耳盧芙粵1二_衛(wèi)左全謝血辭防克堆卿削元世吃詐亙理j應(yīng)百屁宇控制盂醫(yī)雖P寶全苦盹在:豊磯民甌圣曲髀S3圣津詼G能鹿H-rtSf_sm=陪目鈿IQy良沢FIil旳酢匹齊窮顧E)3奩里壽r任阿児日.丸運#壹壟毎瞑口*=15匸込幷齊方m已辭宀|叭下一步-名稱填寫“封端口”，下一步-下一步-勾選編輯屬性，并點完成第 頁共23頁去掉“使用添加向?qū)А钡墓催x后，點擊“添加”X吏甘勘匸向?qū)?W)在新彈出的窗口，選擇“IP篩選列表”選項卡，點擊“添加

8、”規(guī)則常規(guī)矗卻冥也計算機洩訊的安全規(guī)則身粕驗證方法道道餾結(jié)點IP鋒選囂冏衰w動態(tài)=默認D車應(yīng)限限于.Kerberosw無，-tJ_iI第 頁共23頁在新彈出的窗口中填寫名稱，去掉“使用添加向?qū)А鼻懊娴墓?，單擊“添加”名稱兇:工十ip歸選器表由寡個銖選器組花迭樣r寡個子網(wǎng).ip地娠a協(xié)過可彼整合至1?ipM晞選鬧扎慣口過諸箱述助添加區(qū)|ip篩選器:境竦描述源DN5名稱目標(biāo)DIMS宮覇IW蔚iS爭盤I1I譙疋BIP篇選器列表在新彈出的窗口中，“協(xié)議”選項卡下，選擇協(xié)議和設(shè)置到達端口信息，并點確定。IP鋅礙雇性TCPOuum口135:*到1岀蠱口回;設(shè)置護郴賓口:鞅任意賓口舊醉刪類M；重復(fù)第7個步驟

9、，添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后，確定。選中剛添加完成的“端口過濾”規(guī)則，然后選擇“篩選器操作”選項卡。第 頁共23頁X壬容稱桶(E)斯選的屮鑄選器表指隘口階網(wǎng)塔流亙將爰吐規(guī)則髦罔IP篩選器？題:IP徒選壽!1表闔算誰岸身射驗證方法薩直設(shè)宜自裁型去掉“使用添加向?qū)А惫催x，單擊“添加”按鈕勵口少小掛述盤口過誌應(yīng)用閩新OJ雇性第 頁共23頁1.選擇“阻止”第 頁共23頁2.選擇“常規(guī)”選項卡，給這個篩選器起名“阻止”，然后“確定”。點擊3.確認“IP篩選列表”選項卡下的“端口過濾”被選中。確認“篩選器操作”選項卡下的“阻止”被選中。然后點擊“關(guān)閉

10、”。X容稱隔選器援乍（B：ip篩選黠援篩選號乍身射驗證方法達道設(shè)員自舉型舉的策海離性指丘了此規(guī)則昱翻商艮如冋來噪證網(wǎng)絡(luò)流晝的注盤述4.確認安全規(guī)則配置正確。點擊確定。速用”絢1向?qū)關(guān)閑|工齟回(EJ.WTO”Mil!雇性5.在“組策略編輯器”上，右鍵“分配”，將規(guī)則啟用。!_.IindHlmsnl星建書嚼Ltl直3廿呼弓堺15-田杲U翦哄t&Jlth吏n他團常1.i闔蹈赳訶叫flila:衣-狀書L:鷺劇蹩量抄州崟遐-PFI喬=+蕾bhHSBS-Dos-趨rr園Hlsh口擊ES-芟姿曼口HI時也昌陋更3100列23列第 頁共23頁第2章核心網(wǎng)絡(luò)設(shè)備應(yīng)急處置操作指南大型機構(gòu)由于設(shè)備眾多，為了避

11、免感染設(shè)備之后的廣泛傳播，建議利用各網(wǎng)絡(luò)設(shè)備的ACL策略配置，以實現(xiàn)臨時封堵。該蠕蟲病毒主要利用TCP的445端口進行傳播，對于各大企事業(yè)單位影響很大。為了阻斷病毒快速傳播，建議在核心網(wǎng)絡(luò)設(shè)備的三層接口位置，配置ACL規(guī)則從網(wǎng)絡(luò)層面阻斷TCP445端口的通訊。以下內(nèi)容是基于較為流行的網(wǎng)絡(luò)設(shè)備，舉例說明如何配置ACL規(guī)則，以禁止TCP445網(wǎng)絡(luò)端口傳輸，僅供大家參考。在實際操作中，請協(xié)調(diào)網(wǎng)絡(luò)管理人員或網(wǎng)絡(luò)設(shè)備廠商服務(wù)人員，根據(jù)實際網(wǎng)絡(luò)環(huán)境在核心網(wǎng)絡(luò)設(shè)備上進行配置。Juniper設(shè)備的建議配置（示例）：setfirewallfamilyinetfilterdeny-wannacrytermdeny

12、445fromprotocoltcpsetfirewallfamilyinetfilterdeny-wannacrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-wannacrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-wannacrytermdefaultthenaccept#在全局應(yīng)用規(guī)則setforwarding-optionsfamilyinetfilteroutputdeny-wannacrysetforwarding-options

13、familyinetfilterinputdeny-wannacry#在三層接口應(yīng)用規(guī)則setinterfaces需要掛載的三層端口名稱unit0familyinetfilteroutputdeny-wannacrysetinterfaces需要掛載的三層端口名稱unit0familyinetfilterinputdeny-wannacry第 頁共23頁華三(H3C)設(shè)備的建議配置(示例)：新版本:aclnumber3050ruledenytcpdestination-port445rulepermitipinterface需要掛載的三層端口名稱packet-filter3050inbound

14、packet-filter3050outbound舊版本:aclnumber3050rulepermittcpdestination-port445trafficclassifierdeny-wannacryif-matchacl3050trafficbehaviordeny-wannacryfilterdenyqospolicydeny-wannacryclassifierdeny-wannacrybehaviordeny-wannacry#在全局應(yīng)用qosapplypolicydeny-wannacryglobalinboundqosapplypolicydeny-wannacryglob

15、aloutbound#在三層接口應(yīng)用規(guī)則B6Onwssinterface需要掛載的三層端口名稱qosapplypolicydeny-wannacryinboundqosapplypolicydeny-wannacryoutbound華為設(shè)備的建議配置（示例）:aclnumber3050ruledenytcpdestination-porteq445rulepermitiptrafficclassifierdeny-wannacrytypeandif-matchacl3050trafficbehaviordeny-wannacrytrafficpolicydeny-wannacryclassif

16、ierdeny-wannacrybehaviordeny-wannacryprecedence5interface需要掛載的三層端口名稱traffic-policydeny-wannacryinboundtraffic-policydeny-wannacryoutboundCisco設(shè)備的建議配置（示例）:舊版本:ipaccess-listextendeddeny-wannacrydenytcpanyanyeq445permitipanyanyinterface需要掛載的三層端口名稱ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout新版本:ipaccess-listdeny-wannacrydenytcpanyanyeq445permitipanyanyinter