應急指南｜新一輪勒索病毒來襲，小白用戶看這裡

騰訊雲用戶請確保安裝和開啟雲鏡主機保護系統，雲鏡可對海量主機集中管理，進行補丁修復，病毒監測。

更新EternalBlue&CVE-2017-0199對應漏洞補丁

電腦管家已支持對EternalBlue的免疫和補丁修復，也支持對該病毒的查殺，可以直接開啟電腦管家進行防護和查殺。

2. 360

安全操作提示

從目前掌握的情況來看：

• 不要輕易點擊不明附件，尤其是rtf、doc等格式，可以安裝360天擎（企業版）和360安全衛士（個人版）等相關安全產品進行查殺。

• 及時更新windows系統補丁，具體修復方案請參考「永恆之藍」漏洞修復工具。

• 內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具，可解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具集成免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復於一體。可在離線網路環境下一鍵式修復系統存在的MS17-010漏洞，工具下載地址：http://b.360.cn/other/onionwormfix

緩解措施

關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

停止伺服器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規範）是一項核心的 Windows 管理技術 你可以通過如下方法停止 ：在服務頁面開啟WMI服務。在開始-運行，輸入services.msc，進入服務。或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁面，按W，找到WMI服務，找到后，雙擊 ，直接點擊停止服務即可，如下圖所示：

目前勒索者使用的郵箱已經被關停，不建議支付贖金。

所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows操作系統，立即安裝微軟補丁。

對大型企業或組織機構，面對成百上千台機器，最好還是使用專業客戶端進行集中管理。比如，阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。

可靠的數據備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對數據進行備份，並同時做好安全防護，避免被感染和損壞。

影響操作系統：「必加」（Petya）勒索軟體影響操作系統：Windows XP及以上版本；

如未被感染

郵件防範

1）由於此次「必加」（Petya）勒索軟體變種首次傳播通過郵件傳播，所以應警惕釣魚郵件。建議收到帶不明附件的郵件，請勿打開；收到帶不明鏈接的郵件，請勿點擊鏈接。

2）更新操作系統補丁（MS）

3）更新Microsoft Office/WordPad遠程執行代碼漏洞（CVE-2017-0199）補丁

4）禁用WMI服務

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

5）更改空口令和弱口令

如操作系統存在空口令或弱口令的情況，請及時將口令更改為高強度的口令。

6）免疫工具

安天開發的「魔窟」（WannaCry）免疫工具，針對此次事件免疫仍然有效。

下載地址：http://www.antiy.com/tools.html

如已被感染

1）如無重要文件，建議重新安裝系統，更新補丁、禁用WMI服務、使用免疫工具進行免疫。

2）有重要文件被加密，如已開啟Windows自動鏡像功能，可嘗試恢復鏡像；或等待後續可能出現解密工具。

戳藍字查看更多精彩內容

探索篇

▼

真相篇

▼

人物篇

更多精彩正在整理中……

---

「喜歡就趕緊關注我們」

宅客『Letshome』

雷鋒網旗下業界報道公眾號。

專註先鋒科技領域，講述黑客背後的故事。

並識別關注