PDF《周一开机保障指南及工具包》

周一开机保障指南及工具包

2017 年05 月15 日2目录 第1章事件概述.

3 第2章受影响系统.4 第3章本文档及工具包的作用.5 第4章本文档及工具包的内容.6 4.1 所包含的文档说明

6 4.2 所包含的工具说明

7 第5章风险提示.9 5.1 域环境下禁用

445 端口风险.9 5.2 关键数据被加密的处置建议.9 第6章安全开机操作指南

10 6.1 如果你是网络管理员

10 6.2 如果你是服务器管理员.12 6.3 如果你是桌面终端管理员.18 6.4 如果你是普通电脑用户.26

3 第1章 事件概述

2017 年4月,美国国家安全局(NSA)旗下的 方程式黑客组织 使用的部分网络武 器被公开,其中有十款工具最容易影响 Windows 用户,包括永恒之蓝、 永恒王者、永恒 浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查. 不法分子利用 永恒之蓝 ,通过扫描开放

445 文件共享端口的 Windows,无需任何操作, 只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟 货币挖矿机等恶意程序,就像冲击波、震荡波等著名蠕虫一样可以瞬间影响互联网.

2017 年5月12 日晚间起,我国各大高校的师生陆续发现自己电脑中的文件和程序 被加密而无法打开,弹出对话框要求支付比特币赎金后才能恢复,如若不在规定时间内 提供赎金,被加密的文件将被彻底删除.同时,英国多家医院也受到了类似的勒索攻击, 导致医院系统趋于瘫痪,大量病患的诊断被延误.而此次事件不是个案,后续不断报道出 全球各国遭受勒索软件威胁,近100 个国家遭受了攻击.加油站、火车站、政府办事终端 等设备以及邮政、医院、电信运营商,部分工业设施等行业都被 中招 ,部分设备已完 全罢工,无法使用. 目前,该事件的影响已逐步扩展到国内各类规模的企业内网、教育 网、政府机构 等多类单位. 需要了解该永恒之蓝 (蠕虫 WannaCry) 攻击详情的用户请参考附件 1《

360 针对 永恒之蓝 (蠕虫 WannaCry)攻击预警通告》 . 本开机保障指南在线阅读地址: http://b.360.cn/assets/doc/OnionWorm_handbook.pdf

4 第2章 受影响系统 本次威胁主要影响以下操作系统: 桌面版本操作系统: Windows

2000 Windows XP Windows Vista Windows7 Windows8 Windows8.1 Windows10 服务器版本操作系统: Windows Server

2000 Windows Server

2003 Windows Server

2008 Windows Server

2012 Windows Server

2016 5 第3章 本文档及工具包的作用 由于本次攻击爆发在

5 月12 日周五下午,感染高峰出现在众多机构下班之后,周六 和周日两天恰逢公休,360 安全监测与响应中心判断在

5 月15 日周一上班时,存在大量 电脑或服务器开机的情况,此时应该存在新的一轮感染高峰,为了确保周一开机时用户电 脑和服务器免遭病毒感染或避免更大范围的传播,360 企业安全制定了本文档,用于指导 机构用户不同角色根据指南内容进行安全操作.

6 第4章 本文档及工具包的内容 本指南包含多个文档及工具,下表针对文档和工具提供详细说明. 4.1 所包含的文档说明 序号 文档说明 文件名

1 360CERT 针对本次攻击的操作指南,包含在不使用安 全产品的前提下,如何进行影响范围确定、网络及终 端层面的临时抑制方案及相关根治方法及恢复建议. http://b.360.cn/assets/doc/OnionWorm_Report.pdf 附件