PDF《周一开机保障指南及工具包》

15 流程图示中的环节

2 说明: 如果存在 VULNERABLE 提示,则说明该主机极有可能存在该漏洞,需要立即进行检测 及修复.如下图: 流程图示中的环节

3 说明: 被感染的机器屏幕会显示如下的告知付赎金的界面:

16 请注意:如果你的数据非常关键且无法支付赎金,请不要轻易格式化关键数据所在的 服务器,相应处置请参见第

5 章5.2 流程图示中的环节

4 说明: 运行工具 1,对服务器进行一键免疫及补丁操作并重新启动系统.也可以根据操作系 统版本,手动选择对应补丁升级. 请注意:服务器补丁升级一定要缓步进行,可以采用测试环境升级补丁、测试业务正 常之后,邀请业务开发、运营团队一起逐步对线上服务器进行升级,做好必要的回退及热 备机制.如果该业务系统极其重要,且没有补丁对该业务系统影响的信息,请采取其他抑 制措施,诸如配置网络 ACL 手段.

17 如果免疫工具运行异常,也可使用工具

6、永恒之蓝漏洞端口关闭.zip禁用445端口. 将工具解压后,双击运行 执行我.bat 检查并关闭电脑相关服务和端口,出现以下窗口 为服务已经关闭. 流程图示中的环节

5 说明: 运行工具 1,对服务器进行安全检查,也可以按照环节

1 的方法进行二次验证.

18 流程图示中的环节

7 说明: 经业务部门确认稳定后重新上线. 6.3 如果你是桌面终端管理员 步骤一:请阅读附件文档的 附件 1《360 针对 永恒之蓝 (蠕虫 WANNACRY)攻击 预警通告》文档以了解整个事件的全貌,掌握应急响应所需要必备知识. 步骤二:请准备好工具软件包中的工具

1、工具

2、工具

4 和工具 5,这些工具软件 已经包含在

360 企业安全为您提供的安全 U 盘或选择未被感染的电脑从网络上下载,请确 保打开 U 盘的写保护功能,以避免 U 盘遭受感染. 步骤三:参照进行桌面终端安全检查及处置流程.

19 流程3 桌面终端管理员操作流程 流程图示中的环节

1 说明: 紧急通知全体员工断开网络连接,在内网建立工具分发网站或创立多个工具分发介质.

20 流程图示中的环节

2 说明: 被感染的机器屏幕会显示如下的告知付赎金的界面: 请注意:如果你的数据非常关键且无法支付赎金,请不要轻易格式化关键数据所在的 服务器,相应处置请参见第

5 章5.2 流程图示中的环节

3 说明: 如果需要尝试数据恢复操作,请执行操作

5 流程图示中的环节

4 说明: 登记被攻陷主机相关的信息,汇总至管理员,示例如下: 序号主机名 IP MAC 地址 所有 人 联系方式 部门

1 PC-0001 192.168.0.123 00-0C-29-8D-E6-5 张三

13888888888 业务 部 流程图示中的操作

5 说明: 1)首先安装

360 安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击

21 2)使用

360 木马查杀功能,清除全部木马,防止反复感染.

22 3)下载使用

360 勒索蠕虫病毒文件恢复工具 恢复被加密的文件 下载地址: http://dl.360safe.com/recovery/RansomRecovery.exe 选择加密文件所在驱动器

23 ........