Wannacry蠕虫勒索软件(病毒)处理说明

来源：星星旅游

工作日第一天Wannacry蠕虫勒索软件处理说明

Wannacry蠕虫于本周末大规模爆发，目前各单位已开始处理，但介于部分电脑、服务器在周末是关闭状态，为了防止周一开机时遭到攻击，请（对周末没有开机的系统、或者是还没完成加固的系统）完成以下处理。

1、处理流程................................................................................................................................................................................ 1 2、windows补丁地址 ................................................................................................................................................................ 2 3、关闭445端口的方法 ............................................................................................................................................................ 3 4、各安全公司工具汇总 ............................................................................................................................................................ 8

1、处理流程

1.1断网后再开机

断网操作（包括公网、内网、私网，也就是全部网络）：拔掉网线、拔掉无线网卡，若为内置无线网卡，请关闭无线路由器，或者将笔记本移至没有能自动连接wifi信号的区域。

1.2封禁TCP445端口，封禁445端口的方法见后文

1.3离线更新windows

补丁地址参见后文。

请从可以上网并且没有中毒的电脑（例如家庭电脑、或者已经是开启状态但未中毒的

电脑）下载更新，备份U盘并格式化U盘，使用U盘拷贝，更新后请重启电脑。

1.4完成以上防护操作后，联网开启自动更新，更新或安装杀毒软件。

注：windows补丁仅能防止勒索软件通过漏洞自动植入，不能阻止下载、邮件、即时通讯等传播，如果已收到文件并打开，且杀毒软件无法终止恶意进程的情况下，依然会中毒。

2、windows补丁地址

微软公告以及全版本下载指引：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

部分系统参考：

win7 x

md5:d745f83f0433be76e0d08b76113563 sha1:6bb04d3971bb58ae4bac44219e7169812914df3f

下载地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

win7 x86

md5:883a7d1dc00751167ea5ff5c204afc sha1:2decefaa02e2058dcd965702509a992d8c4e92b3

下载地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

XP和win2003官方补丁地址：(xp和2003微软已停止更新，这次的补丁是紧急补丁，对其他漏洞无防护能力，所以建议xp和2003升级到高版本（win7和2008以及以上版本）系统)

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

其他补丁下载地址：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

点击公告里对应的系统下载对应补丁。

3、关闭445端口的方法

（注意，如果server版使用了“活动目录”、“域控制器”，可能会受到影响，请在打

补丁完成后恢复所做操作）

3.1 winXP

在控制面板中打开windows防火墙，确认是启用状态

点击例外，确认“文件和打印共享”是没有被勾上的

点击确定。

3.2 其他系统

在控制面板打开windows防火墙

在“打开或关闭windows防火墙”中确认是完全开启状态

确定后，继续点击“允许程序或功能通过windows防火墙”

找到“文件和打印机共享”，确认一行三个勾全部是没有被勾上的

如果“文件和打印机共享”有多行，每行都要完成一样的操作

操作完成点确定

3.3其他方法

如果熟悉使用第三方防火墙，可增加规则，禁止远端IP连接本机TCP445端口。

4、各安全公司工具汇总

注：这些公司的“免疫工具”，一般用于免疫病毒通过漏洞自动植入，如果没有安装杀毒软件，运行病毒程序仍可能会中毒，请不要随意运行来历不明的程序。

另外不要完全依赖专杀工具，因为病毒可能出现变种，请安装完整的杀毒软件。

360公司免疫工具下载链接：http://b.360.cn/other/onionwormimmune

360公司专杀工具下载链接：http://b.360.cn/other/onionwormkiller

360公司勒索蠕虫病毒文件恢复工具下载链接：

https://dl.360safe.com/recovery/RansomRecovery.exe

安天公司

1、专杀工具：ATScanner（WannaCry）

http://www.antiy.com/response/wannacry/ATScanner.zip

2、蠕虫勒索软件免疫工具（WannaCry）

http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

亚信安全专杀工具：

下载地址如下：

https://ssfe.asiainfo-sec.com/app#folder/JKKG/%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7/?a=HgdYwHS_CxA