應急指南｜新一輪勒索病毒來襲，小白用戶看這里

本文作者：李勤

2017-06-28 09:25

導語：最全、最小白應對這一輪勒索病毒的指南

6月27日晚上9點多，雷鋒網發現，歐洲遭到新一輪的未知病毒的沖擊，英國、烏克蘭、俄羅斯等都受到了不同程度的影響。據悉，該病毒和勒索軟件很類似，都是遠程鎖定設備，然后索要贖金。

經確認，該病毒名為 Petya（后被卡巴斯基反轉，認為應叫“ExPetr”），釆用（CVE-2017-0199)RTF漏洞進行釣魚攻擊，用（MS17-010)SMB漏洞進行內網傳播，都有補丁。?丁地址如下，

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

此外，各安全廠商也出具了應急處理措施，以下是雷鋒網對部分方案的匯總：

1.360

安全操作提示

從目前掌握的情況來看：

不要輕易點擊不明附件，尤其是rtf、doc等格式，可以安裝360天擎（企業版）和360安全衛士（個人版）等相關安全產品進行查殺。
及時更新windows系統補丁，具體修復方案請參考“永恒之藍”漏洞修復工具。
內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行聯網操作。

360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具，可解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具集成免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復于一體。可在離線網絡環境下一鍵式修復系統存在的MS17-010漏洞，工具下載地址：http://b.360.cn/other/onionwormfix

緩解措施

關閉TCP 135端口

建議在防火墻上臨時關閉TCP 135端口以抑制病毒傳播行為。

停止服務器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規范）是一項核心的 Windows 管理技術你可以通過如下方法停止：在服務頁面開啟WMI服務。在開始-運行，輸入services.msc，進入服務。或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁面，按W，找到WMI服務，找到后，雙擊，直接點擊停止服務即可，如下圖所示：

應急指南｜新一輪勒索病毒來襲，小白用戶看這里

2.阿里云

目前勒索者使用的郵箱已經被關停，不建議支付贖金。

所有在IDC托管或自建機房有服務器的企業，如果采用了Windows操作系統，立即安裝微軟補丁。

對大型企業或組織機構，面對成百上千臺機器，最好還是使用專業客戶端進行集中管理。比如，阿里云的安騎士就提供實時預警、防御、一鍵修復等功能。

可靠的數據備份可以將勒索軟件帶來的損失最小化。建議啟用阿里云快照功能對數據進行備份，并同時做好安全防護，避免被感染和損壞。

3.騰訊電腦管家＋騰訊云鼎實驗室

騰訊電腦管家已緊急響應，并已經確認病毒樣本通過永恒之藍漏洞傳播，開啟騰訊電腦管家可以防御petya勒索病毒，還可全面防御所有已知的變種和其他勒索病毒；此外，漏洞檢測能力也得到升級，加入了NSA武器庫的防御，可以抵御絕大部分NSA武器庫泄漏的漏洞的攻擊。

騰訊云鼎實驗室：可以采用以下方案進行防護和查殺——

騰訊云用戶請確保安裝和開啟云鏡主機保護系統，云鏡可對海量主機集中管理，進行補丁修復，病毒監測。
更新EternalBlue&CVE-2017-0199對應漏洞補丁
補丁下載地址：
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
終端用戶使用電腦管家進行查殺和防護
電腦管家已支持對EternalBlue的免疫和補丁修復，也支持對該病毒的查殺，可以直接開啟電腦管家進行防護和查殺。