针对“永恒之蓝”攻击紧急处置手册

首先确认主机是否被感染   

被感染的机器屏幕会显示如下的告知付赎金的界面：     

如果主机已被感染： 

则将该主机隔离或断网（拔网线）。若客户存在该主机备份，则启动备份恢复程序。

如果主机未被感染： 

则存在四种方式进行防护，均可以避免主机被感染。针对未感染主机，方式二是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一效率最高。    

从响应效率和质量上，360 建议首先采用方式一进行抑制，再采用方式二进行根除。      

方式一：启用蠕虫快速免疫工具  

免疫工具的下载地址：

请双击运行 OnionWormImmune.exe 工具，并检查任务管理器中的状态。    

方式二：针对主机进行补丁升级  

请参考紧急处置工具包相关目录并安装 MS17-010 补丁，微软已经发布 winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁。    

微软官方下载地址：

快速下载地址：

方式三：关闭445端口相关服务 

点击开始菜单，运行，cmd，确认。      

输入命令 netstat  –an 查看端口状态   

输入 net  stop  rdr回车      

net  stop srv  回车            

net  stop netbt  回车

再次输入 netsta  –an，成功关闭 445 端口。

方式四：配置主机级策略封堵445端口

通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口  

开始菜单->运行，输入 gpedit.msc 回车。打开组策略编辑器

在组策略编辑器中，计算机配置->windows 设置->安全设置->ip 安全策略下，在编辑器右边空白处鼠标右键单击，选择“创建 IP 安全策略”

  下一步->名称填写“封端口”，下一步->下一步->勾选编辑属性，并点完成

去掉“使用添加向导”的勾选后，点击“添加”

在新弹出的窗口，选择“IP 筛选列表”选项卡，点击“添加”

在新弹出的窗口中填写名称，去掉“使用添加向导”前面的勾，单击“添加”

在新弹出的窗口中，“协议”选项卡下，选择协议和设置到达端口信息，并点确定。

重复第 7 个步骤，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。

添加全部完成后，确定。    

选中刚添加完成的“端口过滤”规则，然后选择“筛选器操作”选项卡。

去掉“使用添加向导”勾选，单击“添加”按钮

1.        选择“阻止”

2.        选择“常规”选项卡，给这个筛选器起名“阻止”，然后点击“确定”。  

3.        确认“IP 筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作” 选项卡下的“阻止”被选中。然后点击“关闭”。

4.        确认安全规则配置正确。点击确定。  

5.        在“组策略编辑器”上，右键“分配”，将规则启用。