周一开机保障指南及工具包

2017年05月14日2目录第1章事件概述3第2章受影响系统4第3章本文档及工具包的作用5第4章本文档及工具包的内容64.
1所包含的文档说明64.
2所包含的工具说明7第5章安全开机操作指南95.
1如果你是服务器管理员95.
2如果你是桌面终端管理员155.
3如果你是本机构的普通电脑用户233第1章事件概述2017年4月,美国国家安全局(NSA)旗下的"方程式黑客组织"使用的部分网络武器被公开,其中有十款工具最容易影响Windows用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查.
不法分子利用"永恒之蓝",通过扫描开放445文件共享端口的Windows,无需任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序,就像冲击波、震荡波等著名蠕虫一样可以瞬间影响互联网.
2017年5月12日晚间起,我国各大高校的师生陆续发现自己电脑中的文件和程序被加密而无法打开,弹出对话框要求支付比特币赎金后才能恢复,如若不在规定时间内供赎金,被加密的文件将被彻底删除.
同时,英国多家医院也受到了类似的勒索攻击,导致医院系统趋于瘫痪,大量病患的诊断被延误.
而此次事件不是个案,后续不断报道出全球各国遭受勒索软件威胁,近100个国家遭受了攻击.
加油站、火车站、ATM机、政府办事终端等设备以及邮政、医院、电信运营商,部分工业设施等行业都被"中招",部分设备已完全罢工,无法使用.
目前,该事件的影响已逐步扩展到国内各类规模的企业内网、教育网、政府机构等多类单位.
需要了解该永恒之蓝"(蠕虫WannaCry)攻击详情的用户请参考1《360针对"永恒之蓝"(蠕虫WannaCry)攻击预警通告》4第2章受影响系统本次威胁主要影响以下操作系统:桌面版本操作系统:Windows2000WindowsXPWindowsVistaWindows7Windows8Windows8.
1Windows10服务器版本操作系统:WindowsServer2000WindowsServer2003WindowsServer2008WindowsServer2012WindowsServer20165第3章本文档及工具包的作用由于本次攻击爆发在5月12日周五下午,感染高峰出现在众多机构下班之后,周六和周日两天恰逢公休,360安全监测与响应中心判断在5月15日周一上班时,存在大量电脑或服务器开机的情况,此时应该存在新的一轮感染高峰,为了确保周一开机时用户电脑和服务器免遭病毒感染或避免更大范围的传播,360企业安全制定了本文档,用于指导机构用户不同角色根据指南内容进行安全操作.
6第4章本文档及工具包的内容本指南包含多个文档及工具,下表针对文档和工具提供详细说明.
4.
1所包含的文档说明序号文档说明文件名1360CERT针对本次攻击的操作指南,包含在不使用安全产品的前提下,如何进行影响范围确定、网络及终端层面的临时抑制方案及相关根治方法及恢复建议.
1360针对"永恒之蓝"(蠕虫WannaCry)攻击预警通告2360CERT本次攻击的紧急处置手册,包含应急响应推荐操作及隔离网、互联网、网络设备等多个方面的防护操作流程及方法2针对"永恒之蓝"攻击紧急处置手册(蠕虫WannaCry)3微软相关高危漏洞MSID与KBID对照表,用于检验相关的CVE漏洞是否被修复.
人工操作方法:开始菜单运行cmd.
exe,输入systeminfo命令等待返回,从如果返回的补丁信息中包含对应的KB号,漏洞修复成功.
3微软高危漏洞-MSID与KBID对照表4360追日团队(专业高级威胁追踪溯源团队)针对本次攻击的技术分析报告,包含蠕虫攻击流程、蠕虫利用漏洞分析、相关释放文件分析、勒索加密过程及解密过程分析等模块.
4WanaCrypt0r勒索蠕虫完全分析报告5360网关产品线对本次攻击的操作指南,包含网络策略配置、IPS防护引擎配置、DNS诱导、失陷主机隔离等多个方面的防护操作流程及方法.
其中要注意的是:使用DNS诱导的方法时一定要建立5360防火墙产品针对"永恒之蓝"勒索蠕虫的防护方案v3.
17一个运行在80端口的正常的HTTP服务,隔离网用户建议在内部DNSSERVER上同时增加相关DNS诱导配置.
6360终端安全产品线针对本次攻击的操作指南,包含临时免疫工具使用、病毒特征更新、补丁升级等多个方面的防护操作流程及方法.
6360天擎产品针对"永恒之蓝"勒索蠕虫病毒的防护方案1.
137360虚拟化产品线针对本次攻击的操作指南,包含轻代理及无代理解决方案下的防火墙模块操作指南、未购买防火墙模块的情况下终端加固操作流程及方法.
7360虚拟化安全产品"永恒之蓝"应急处置办法4.
2所包含的工具说明序号工具文件名1360勒索蠕虫漏洞修复工具,此修复工具集成免疫、SMB服务关闭和各系统下MS17-010漏洞检测与修复于一体.
可在离线网络环境下一键式修复系统存在的MS17-010漏洞,根本解决勒索蠕虫利用MS17-010漏洞带来的安全隐患.
修复工具下载地址:http://down.
b.
360.
cn/EternalBlueFix.
zip.
NSAScan.
exe2360勒索蠕虫免疫工具,可用于主机免疫勒索蠕虫的破坏过程.
下载地址:http://b.
360.
cn/other/onionwormimmuneOnionWormImmune3360勒索软件漏洞扫描工具,可通过扫描端口远程或本地检测主机是否存在漏洞.
该工具有一定风险性,建议寻求360企业安全技术支持获取该工具及服务支持.
请拨打技术支持电话:4008-136-360ms17010detectv484360勒索蠕虫文件恢复工具(非解密),有可能恢复一部分被加密的文件,用于紧急数据恢复,存在一定概率无法恢复.
下载地址:https://dl.
360safe.
com/recovery/RansomRecovery.
exeRansomRecovery.
exe5360安全卫士个人版在线安装程序,可用于联网环境下的补丁升级及安全防护.
下载地址:http://down.
360safe.
com/inst.
exeinst==.
exe9第5章安全开机操作指南本指南根据用户角色的不同进行针对性的操作指导,本次操作指南区分三种用户角色:服务器管理员、桌面终端管理员、普通用户.
5.
1如果你是服务器管理员步骤一:请阅读文档的1《360针对"永恒之蓝"(蠕虫WannaCry)攻击预警通告》文档以了解整个事件的全貌,掌握应急响应所需要必备知识.
步骤二:请准备好工具软件包中的工具1、工具2和工具3,这些工具软件已经包含在360企业安全为您提供的安全U盘,或选择未被感染的电脑从网络上下载,在使用U盘时,请确保打开U盘的写保护功能,以避免U盘遭受感染.
步骤三:请按照流程进行安全操作:10流程1服务器管理员操作流程11流程图示中的环节1说明:该步骤使用工具3检测管辖范围内的服务器是否存在本次勒索蠕虫所利用的漏洞,尽快确认存在漏洞的服务器数量和范围.
其中工具3的使用方法:在命令行环境下执行工具3,示例如下:ms17010detectv4.
exe192.
168.
1.
1扫描单个IPms17010detectv4.
exe192.
168.
1.
0/24扫描单个网段ms17010detectv4.
exe192.
168.
1.
1-23扫描单个网段连续IPms17010detectv4.
exe192.
168.
1.
*扫描单个网段全部IPms17010detectv4.
exe-listiplist.
txt扫描多个IP,地址每行一个输入到txt文件中流程图示中的环节2说明:如果存在VULNERABLE提示,则说明该主机极有可能存在该漏洞,需要立即进行检测12及修复.
如下图:流程图示中的环节3说明:被感染的机器屏幕会显示如下的告知付赎金的界面:13流程图示中的环节4说明:运行工具1,对服务器进行一键免疫及补丁操作并重新启动系统.
也可以根据操作系统版本,手动选择对应补丁升级.
14流程图示中的环节5说明:运行工具1,对服务器进行安全检查,也可以按照环节1的方法进行二次验证.
流程图示中的环节7说明:经业务部门确认稳定后重新上线.
155.
2如果你是桌面终端管理员步骤一:请阅读文档的"1《360针对"永恒之蓝"(蠕虫WANNACRY)攻击预警通告》文档以了解整个事件的全貌,掌握应急响应所需要必备知识.

步骤二:请准备好工具软件包中的工具1、工具2、工具4和工具5,这些工具软件已经包含在360企业安全为您提供的安全U盘或选择未被感染的电脑从网络上下载,请确保打开U盘的写保护功能,以避免U盘遭受感染.
步骤三:参照进行桌面终端安全检查及处置流程.
16流程2桌面终端管理员操作流程流程图示中的环节1说明:紧急通知全体员工断开网络连接,在内网建立工具分发网站或创立多个工具分发介质.

流程图示中的环节2说明:被感染的机器屏幕会显示如下的告知付赎金的界面:17流程图示中的环节3说明:如果需要尝试数据恢复操作,请执行操作5流程图示中的环节4说明:登记被攻陷主机相关的信息,汇总至管理员,示例如下:序号主机名IPMAC地址所有人联系方式部门1PC-0001192.
168.
0.
12300-0C-29-8D-E6-5张三13888888888业务部流程图示中的操作5说明:1)首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击182)使用360木马查杀功能,清除全部木马,防止反复感染.
193)下载使用"360勒索蠕虫病毒文件恢复工具"恢复被加密的文件下载地址:http://dl.
360safe.
com/recovery/RansomRecovery.
exe选择加密文件所在驱动器20扫描后,选择要恢复的文件21强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响.
一般来说,中毒后越早恢复,成功的几率越高,无法确保能够成功恢复多大比例的文件.