勒索病毒WannaCry针对服务器及其内部网络操作指引

5月12日，全球爆发勒索病毒WannaCry，大量企业和组织遭受大规模的勒索***，国内高校内网、大型企业内网和政府机构专网相继中招。

系统中毒后，会加密系统中的照片、图片、文档、压缩包、音频等几乎所有类型的文件，不法分子据此向受害者提出勒索要求，支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

一.序言

本操作指引分为三个步骤展开：

1、隔离受感染主机

2、切断传染途径

3、修复系统隐患

二.隔离受感染服务器主机

如果发现已经有主机被感染，立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认，请优先按照下述第三点和第四点处理。

判断方法:出现下述界面的主机

操作方法：

全部服务器断开网络，如：拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务，目前业界暂无有效解决方案，建议隔离放置，暂时不要做任何操作。

影响及可能的问题：

业务系统无法对外访问

三.切断病毒传播路径

1、切断内网传播途径

方法：

内网交换机上配置访问控制策略，禁止内网之间的135、137、139、445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。

针对无线网络也需要进行隔离，具体方法建议根据无线产品特性确认方案；我司建议先临时关闭无线访问，待全部终端电脑修复完毕后再开启无线。

影响及可能的问题：

1）建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。

2）445等端口为网上邻居、共享应用的端口，禁用端口后对应的应用将无法

对外系统服务。例如：打印机、共享文件夹等应用。

2、切断外网传播途径

方法：

下述两种方法根据实际情况选择一种最快的方式执行即可。

1）安全网关设备开启对应防护规则

应用层防火墙、IPS等安全网关可能集成相应的防护功能，可以通过其应用层防火的功能阻止外网到内网的传播，具体建议与对应厂商进行确认。

2）安全网关通过限制访问端口进行防护

如果无法通过上述第一点进行防护，可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问，切断外部传播途径。

四.修复或规避系统漏洞方案

完成上述两个步骤后基本切断漏洞传播的内部和外部途径，接下来将对服务器可能存在的隐患进行修复。

4.1 建议根据业务系统重要性进行修复，建议如下：

1、重要业务系统服务器（优先级高）

建议判断标准：生产系统、销售系统、财务系统、研发系统、供应链系统、AO系统、邮件系统等。

2、次重要业务系统服务器（优先级中）

建议判断标准：内部论坛、打印机等其他服务器。

4.2 建议对重要业务系统数据进行备份

建议将重要数据备份到其他外部介质上，如NAS等外置存储。

4.3执行修复方案

下述三种方案贵司根据实际情况选择一种最快、最适合的方式执行，方案执行成功后可以恢复对应的业务。

1、关闭潜在服务器的SMB服务及端口 （规避措施）

方法：

启用并打开"Windows防火墙"，进入"高级设置"，在入站规则新建规则。

2、使用速修复工具（规避措施）

方法：

http://pan.baidu.com/s/1pLe64mn

3、修复系统漏洞（彻底修复SMB漏洞）

方法：

升级微软针对MS17-010的漏洞补丁，建议采用U盘拷贝补丁、手动更新方法完成（避免自动更新上网时带来的交叉传染隐患）。并且建议补丁下载也在相对安全的环境中进行。微软补丁参考列表如下：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

建议优先下载微软官方的补丁，如果部分补丁可能会存在下载速度较慢的情况，我司整理微软补丁并提供下载的参考如下：

https://wx.xyclouds.com/static/bjsec/patch.zip

影响及可能的问题：

1、上述方案1和方案2是SMB漏洞的规避方案，隐患得到规避的同时会导致系统某些服务将停止，例如：打印机、共享文件夹等应用。

2、方案3是SMB漏洞的彻底修复方案，不会对业务员造成影响。