WannaCry勒索病毒用户处置指南

一、前言

北京时间2017年5月12日晚，勒索软件”WannaCry”感染事件爆发，全球范围内99个国家遭到大规模网络攻击，被攻击者电脑中的文件被加密，被要求支付比特币以解密文件；众多行业受到影响，比如英国的NHS服务，导致至少40家医疗机构内网被攻陷，电脑被加密勒索；而我国众多行业的也是如此，其中又以教育网最为显著，导致部分教学系统无法正常运行，相关学子毕业论文被加密等。截止到北京时间5月15日09点，目前事件趋势已经蔓延到更多行业，包含金融、能源、医疗、交通等行业均受到影响。

今年4月14日黑客组织Shadow Brokers（影子经纪人）公布了Equation Group（方程式组织）使用的”网络军火”，其中包含了一些Windows漏洞（微软编号为MS17-010）和利用工具，这些漏洞利用中以Eternalblue（永恒之蓝）最为方便利用，并且网上出现的相关攻击脚本和利用教程也以该漏洞为主，而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵；Eternalblue可以远程攻击Windows的445端口，该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件，黑客主要进行挖矿、ddos等行为，而本次事件则是利用该漏洞进行勒索病毒的植入和传播。

本次事件影响范围广泛，腾讯安全云鼎实验室发布本处理指南意在指导云上用户在遭受攻击前后进行相关处理，个人用户也可参考部分章节。

二、事前预防

可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽，比如电脑管家勒索病毒免疫工具（下载地址：http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe
手动关闭端口，下载安装补丁，为确保补丁安装，请一定要手工安装补丁。
1. 补丁下载地址：
```
 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598、 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 
```
2. 利用防火墙添加规则屏蔽端口
  - 开始菜单-打开控制面板-选择Windows防火墙
    - 如果防火墙没有开启，点击”启动或关闭 Windows防火墙”启用防火墙后点击” 确定”
  - 点击” 高级设置”，然后左侧点击”入站规则”，再点击右侧” 新建规则”
    - 在打开窗口选择选择要创建的规则类型为”端口”，并点击下一步
    - 在”特定本地端口”处填入445并点击”下一步”，选择”阻止连接”，然后一直下一步，并给规则随意命名后点击完成即可。
      
      注：不同系统可能有些差异，不过操作类似
3. 腾讯云机器也可以通过配置安全组规则屏蔽445端口
  - 选择需要操作机器所属的安全组，点击”编辑规则”
    - 直接点击快捷配置按钮”封堵安全漏洞”就可以自动添加规则
    - 该快捷按钮将会添加”137、139、445″三个端口的屏蔽规则，如果只想添加本次所影响的445端口，可以在保存前进行调整（如非业务需要，不建议调整）

对相关重要文件采用离线备份（即使用U盘等方式）等方式进行备份
部分电脑带有系统还原功能，可以在未遭受攻击之前设置系统还原点，这样即使遭受攻击之后可以还原系统，找回被加密的原文件，不过还原点时间到遭受攻击期间的文件和设置将会丢失
目前，大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等，可以安装这些安全软件，如腾讯电脑管家，开启实时防护，避免遭受攻击
对于个人用户，可以采用一些文件防护工具，进行文件的备份、防护，如电脑管家的文档守护者（电脑管家工具箱内可下载使用）

根据对已有样本分析，勒索软件存在触发机制，如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册，可以正常访问。