WannaCry勒索病毒的防范和处理

WannaCry勒索病毒的防范和处理

2017年5月12日起， 全球性爆发勒索病毒WannaCry ，经研究，此次为不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入病毒。针对WannaCry勒索病毒的防范和处理方法如下

系统中招后，病毒会加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”，病毒更改终端背景图片提出勒索要求，如下：

隔离受感染主机

全部服务器断开网络，如：拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务，目前业界暂无有效解决方案，建议隔离放置，暂时不要做任何操作。

切断内网传播途径

内网交换机上配置访问控制策略，禁止内网之间的135、137、139、445端口的访问权限。具体操作方案可参照对应交换机产品的操作手册。

1）建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。

2）445等端口为网上邻居、共享应用的端口，禁用端口后对应的应用将无法

对外系统服务。例如：打印机、共享文件夹等应用。

切断外网传播途径

使用安全设备开启漏洞防护功能，或者在安全网关上限制135、138、139、445等访问端口进行防护。具体操作可与安全设备对应厂商进行确认。

1）安全网关设备开启对应防护规则

应用层防火墙、IPS等安全网关可能集成相应的防护功能，可以通过其应用层防火的功能阻止外网到内网的传播，具体建议与对应厂商进行确认。

2）安全网关通过限制访问端口进行防护

如果无法通过上述第一点进行防护，可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问，切断外部传播途径。

修复或规避潜在的漏洞

1、关闭潜在服务器的SMB服务及端口 ,开启服务器防火墙

2、服务器重要数据做好备份处理

3、安装微软系统补丁，修复系统漏洞