编者按：本文来自“360安全监测与响应中心”，内容为针对“永恒之蓝”攻击紧急处置手册（蠕虫WannaCry）；36氪经授权发布，如果您有其他解决办法，欢迎推荐！邮箱：[email protected]

　　第1章：隔离网主机应急处置操作指南

　　被感染的机器屏幕会显示如下的告知付赎金的界面：

　　如果主机已被感染：

　　则将该主机隔离或断网（拔网线）。若客户存在该主机备份，则启动备份恢复程序。

　　如果主机未被感染：

　　则存在四种方式进行防护，均可以避免主机被感染。针对未感染主机，方式二是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一效率最高。特别提醒，四种处置方式均应确保在未感染主机不联网的情况下操作。

　　从响应效率和质量上，360建议首先采用方式一进行抑制，再采用方式二进行根除。

　　方式一：启用蠕虫快速免疫工具

　　免疫工具的下载地址：

　　请双击运行OnionWormImmune.exe工具，并检查任务管理器中的状态。

　　方式二：针对主机进行补丁升级

　　请参考紧急处置工具包相关目录并安装MS17-010补丁，微软已经发布winxp_sp3至win10、win2003至win2016的全系列补丁。

　　微软官方下载地址（采用已经免疫的电脑下载补丁）：

　　https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

　　快速下载地址：

　　https://yunpan.cn/cXLwmvHrMF3WI访问密码 614d

　　方式三：关闭445端口相关服务

　　点击开始菜单，运行，cmd，确认。

　　输入命令netstat –an查看端口状态

　　输入net stop rdr 回车

　　net stop srv 回车

　　net stop netbt 回车

　　再次输入netsta –an，成功关闭445端口。

　　方式四：配置主机级ACL策略封堵445端口

　　通过组策略IP安全策略限制Windows网络共享协议相关端口；

　　开始菜单->运行，输入gpedit.msc回车。打开组策略编辑器；

　　在组策略编辑器中，计算机配置->windows设置->安全设置->ip安全策略 下，在编辑器右边空白处鼠标右键单击，选择“创建IP安全策略”。

　　下一步->名称填写“封端口”，下一步->下一步->勾选编辑属性，并点完成

　　在新弹出的窗口，选择“IP筛选列表”选项卡，点击“添加”

　　在新弹出的窗口中填写名称，去掉“使用添加向导”前面的勾，单击“添加”

　　在新弹出的窗口中，“协议”选项卡下，选择协议和设置到达端口信息，开奖，并点确定。

　　重复第7个步骤，添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后，确定。

　　选中刚添加完成的“端口过滤”规则，然后选择“筛选器操作”选项卡。

　　1. 选择“阻止”

　　2. 选择“常规”选项卡，给这个筛选器起名“阻止”，然后“确定”。

　　3. 确认“IP筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。

　　4. 确认安全规则配置正确。点击确定。

　　5. 在“组策略编辑器”上，右键“分配”，将规则启用。

　　第2章：核心网络设备应急处置操作指南

　　大型机构由于设备众多，为了避免感染设备之后的广泛传播，建议利用各网络设备的ACL策略配置，以实现临时封堵。