全球爆發電腦勒索病毒 天津市網信辦發佈WannaCry蠕蟲感染應急處理辦法

5月12日，名為“要加密”（Wannacry）的“蠕蟲”式勒索軟件在全球較大規模傳播。該軟件利用Windows SMB服務漏洞，對計算機中的文檔、圖片等實施高強度加密，並勒索贖金。目前，包括高校、能源等重要信息系統在內的多類用戶受到攻擊，已對我國互聯網絡構成較為嚴重的安全威脅。

5月14日，天津市網信辦官方微信“網信天津”發佈了“針對WannaCry蠕蟲感染應急處理辦法”：

一、已感染主機應急隔離辦法鑑於WannaCry蠕蟲具有極大的危險性，所有已知的被感染主機務必脫離當前工作網絡進行隔離處理。

針對已被蠕蟲破壞的文件，截至2017/5/14尚未發現任何有效恢復手段。為防止蠕蟲進一步傳播，禁止將被感染主機任何文件拷貝至其他主機或設備，嚴格禁止將已知的被感染主機重新接入任何網絡。

二、重要文件應急處理辦法為保證重要文件不被WannaCry蠕蟲破壞，最大程度減小損失，所有未受感染主機或不確定是否感染的主機禁止開機。

對該類型主機需採取物理拷貝的方式進行處理，即：由專業人員打開主機，將全部存放重要文件的硬盤取出，並使用外置設備掛載至確定未受感染的主機進行拷貝。

為防止二次感染，拷貝出的文件務必在隔離區進行處理。

嚴格禁止將可能被感染的硬盤通過IDE、SATA等主板接口直接掛載至拷貝機，以防止拷貝機使用此硬盤啟動，從而導致可能的被感染行為。

對網絡中現有的、曾經接入過的所有windows主機都應當採取上述方法進行重要文件備份。

物理拷貝流程結束後，按照：三、主機應急檢測策略進行應急檢測處理。

對於暫時沒有上述條件的或因某些情況必須開機的，務必保證在脫離辦公網絡環境下保持接入互聯網開機(例如4G網絡、普通寬帶等)，同時必須做到全程保持互聯網暢通。(接入互聯網成功的標準為：可以在瀏覽器中打開以下網站，並看到如圖所示內容：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

)

對於無法接入互聯網的涉密機，務必在內網配置web服務器，並將上述域名解析至可訪問的內網服務器中。

此內網服務器的主頁務必返回以下內容：

sinkhole.tech - where the bots party hard and the researchers harder.<!-- h4 -->在臨時開機處理結束後，關機並進行物理拷貝流程。

三、主機應急檢測策略針對物理拷貝結束後的主機，需進行以下處理：

檢測被掛載硬盤的windows目錄，查看是否存在文件：mssecsvc.exe，如果存在則證明被感染。

針對其他已開機的主機，檢查系統盤windows目錄中是否存在文件：mssecsvc.exe；檢查系統中是否存在服務mssecsvc2.0(具體操作見本部分結尾)。存在任何之一則證明已受感染。

針對存在防火牆其他帶有日誌功能設備的網絡，檢查日誌中是否存在對域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析，若存在則證明網絡內存在被感染主機。針對檢測出的受感染主機，務必在物理拷貝流程結束後對所有硬盤進行格式化處理。

類似主機如果存在2017/4/13之前的備份，可進行全盤恢復操作(包含系統盤以及其他全部)，在此時間之後的備份可能已被感染，不得進行恢復。

針對已知存在受感染主機的網絡，禁止打開已關閉主機，同時對此類主機進行物理拷貝流程。對於已開機的主機，立即進行關機，並進行物理拷貝流程。附：檢查服務的方法：

按window + R鍵打開“運行”窗口：

輸入services.msc回車，打開服務管理頁面：

檢查“名稱”一欄中所有項目，存在mssecsvc2.0則表明被感染。

四、未受感染主機應急防禦策略

針對未受感染的主機，存在以下四種應急防禦策略。

其中策略一為最有效的防禦手段，但耗時較長。其他策略為臨時解決方案，供無法實行策略一時臨時使用。

應用策略二或策略三的主機將無法訪問網絡中的共享，請慎重使用。

在無法立即應用策略一時，建議首先應用策略四進行臨時防禦。無論使用了哪種臨時策略，都必須儘快應用策略一以做到完整防禦。

針對windows 10版本之下的主機，建議升級至windows 10並更新系統至最新版本。因情況無法升級的，務必使用一種應急防禦策略進行防禦。

策略一：安裝MS17-010系統補丁

根據系統版本，安裝ms17-010漏洞補丁。其中windows 7以及更高版本可以通過自動更新安裝全部補丁獲得，windows xp、windows 2003以及windows vista可以通過安裝隨文檔提供的臨時工具獲得。

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

策略二：關閉漏洞相關服務

可通過專業人員使用以下命令對漏洞相關服務進行關閉：

sc stop LmHosts

sc stop lanmanworkstation

sc stop LanmanServer

sc config LmHosts start=DISABLED

sc config lanmanworkstation start=DISABLED

sc config LanmanServer start= DISABLE

策略三：配置防火牆禁止漏洞相關端口

針對windows 2003或windows xp系統，點擊開始菜單，並打開“控制面板”。

在控制面板中雙擊“windows防火牆”選項，點擊“例外”選項卡，取消勾選“文件和打印機共享”，並點擊確定。

針對windows 7及以上系統，點擊開始菜單，打開“控制面板”，點擊“系統和安全”“Windows防火牆”。

在windows防火牆配置頁面，點擊“允許程序或功能通過windows防火牆”選項，點擊上方的“更改設置”：

在列表中找到“文件和打印機共享”的複選框，取消勾選，最後點擊確定。

策略四：使用漏洞防禦工具

360公司提供了蠕蟲免疫工具進行臨時防禦，此工具可以在360網站下載。

直接執行此工具即可進行簡單的臨時防禦，每次重啟主機都必須重新執行此工具。

五、公網服務器與網絡應急安全防禦策略

針對公網服務器(例如網站、公開系統等)多數可以連接至互聯網，對於windows 2008 r2及更高版本的服務器，建議打開系統的“自動更新”功能，並安裝全部漏洞補丁。

對於windows 2003服務器，可選擇四、未受感染主機應急防禦策略中的策略一進行防禦，同時建議儘快升級至更高版本的服務器(如windows 2008 r2等)。

針對內部網絡，需要在保證主機安全的情況下防止可能的傳染。

無需使用共享功能的，可在防火牆、路由器等設備上禁止445端口的訪問。

由於此蠕蟲使用域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com作為“發作開關”，在無法訪問此域名時即刻發作。因此，禁止在防火牆、IPS等網絡安全設備上攔截該域名，否則會觸發已感染主機的加密流程，造成不可挽回的損失。

使用內網私有dns的，務必配置此域名的解析，並將其指向內網中存活的web服務器。此內網服務器的主頁需返回以下內容：

sinkhole.tech - where the bots party hard and the researchers harder.

<!-- h4 -->

天津市委網信辦市網絡安全與信息化技術測評中心

（“津雲”—前沿新聞編輯/謝鳴馳）