【管理员必读！！！】周一安全开机操作指南！

从上周五（5月12日）开始，一种WannaCrypt（永恒之蓝）勒索蠕虫在全球范围内进行了大规模攻击，加密用户电脑硬盘锁定电脑，索要300美元赎金，上演了一场世界大勒索。

• 英国的16家医院的电脑被锁，医生无法进入患者档案，无法给病人看病；
• 北京、上海、重庆、成都等全国多地加油站业务电脑被锁，无法用银行卡、支付宝和微信支付，只能用现金才能加油；
• 清华、北大、上海交大、山东大学等全国各地众多院校出现病毒感染情况，大量学生毕业论文等重要资料被病毒加密，只有支付赎金才能恢复。
  
  

根据360威胁情报中心的统计，在短短一天多的时间，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织。国内已经有29372家机构组织的数十万台机器感染WannaCrypt（永恒之蓝），被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，被感染的电脑数字还在不断增长中。

周一（5月15日）工作日首日，是电脑开机的高峰，也是勒索蠕虫传播的高峰，360安全监测与响应中心为与勒索蠕虫病毒关系密切的服务器管理员、桌面终端管理员、普通用户都提供了完整的安全开机操作指南，具体如下。

如果你是服务器管理员

• 步骤一：请阅读附件文档的附件1《360针对“永恒之蓝”（蠕虫WannaCry）攻击预警通告》 文档以了解整个事件的全貌，掌握应急响应所需要必备知识。
• 步骤二：请准备好工具软件包中的工具1、工具2和工具3，这些工具软件已经包含在360企业安全为您提供的安全U盘，或选择未被感染的电脑从网络上下载，在使用U盘时，请确保打开U盘的写保护功能，以避免U盘遭受感染。
• 步骤三：请按照<流程1 服务器管理员操作流程>流程进行安全操作：
  
  

360社区

流程1 服务器管理员操作流程

流程图示中的环节1说明：

该步骤使用工具3检测管辖范围内的服务器是否存在本次勒索蠕虫所利用的漏洞，尽快确认存在漏洞的服务器数量和范围。其中工具3的使用方法：在命令行环境下执行工具3，示例如下：

• ms17010detectv4.exe 192.168.1.1  扫描单个IP
• ms17010detectv4.exe 192.168.1.0/24  扫描单个网段
• ms17010detectv4.exe 192.168.1.1-23   扫描单个网段连续IP
• ms17010detectv4.exe 192.168.1.*   扫描单个网段全部IP
• ms17010detectv4.exe -list iplist.txt   扫描多个IP，地址每行一个输入到txt文件中
  
  

360社区

流程图示中的环节2说明：

如果存在VULNERABLE提示，则说明该主机极有可能存在该漏洞，需要立即进行检测及修复。如下图：

360社区

流程图示中的环节3说明：

被感染的机器屏幕会显示如下的告知付赎金的界面：

360社区

流程图示中的环节4说明：

运行工具1，对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本，手动选择对应补丁升级。

360社区

流程图示中的环节5说明：

运行工具1，对服务器进行安全检查，也可以按照环节1的方法进行二次验证。

360社区

流程图示中的环节6说明：

经业务部门确认稳定后重新上线。

如果你是桌面终端管理员

• 步骤一：请阅读附件文档的”附件1《360针对“永恒之蓝”（蠕虫WANNACRY）攻击预警通告》文档以了解整个事件的全貌，掌握应急响应所需要必备知识。
• 步骤二：请准备好工具软件包中的工具1、工具2、工具4和工具5，这些工具软件已经包含在360企业安全为您提供的安全U盘或选择未被感染的电脑从网络上下载，请确保打开U盘的写保护功能，以避免U盘遭受感染。
• 步骤三：参照<流程2 桌面终端管理员操作流程>进行桌面终端安全检查及处置流程。
  
  

360社区

流程2 桌面终端管理员操作流程

流程图示中的环节1说明：

紧急通知全体员工断开网络连接，在内网建立工具分发网站或创立多个工具分发介质。

流程图示中的环节2说明：

被感染的机器屏幕会显示如下的告知付赎金的界面：

360社区

流程图示中的环节3说明：

如果需要尝试数据恢复操作，请执行操作5

流程图示中的环节4说明：

登记被攻陷主机相关的信息，汇总至管理员，示例如下：

360社区

流程图示中的操作5说明：

1）首先安装360安全卫士，选择漏洞修复，打好安全补丁，预防再次被攻击

360社区

360社区

2）使用360木马查杀功能，清除全部木马，防止反复感染。

360社区

360社区

3）下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件

下载地址： http://dl.360safe.com/recovery/RansomRecovery.exe

选择加密文件所在驱动器

360社区

扫描后，选择要恢复的文件

360社区

360社区

强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上

360社区

本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高，无法确保能够成功恢复多大比例的文件。

流程图示中的环节6说明：

运行工具1，对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本，手动选择对应补丁升级。

360社区

流程图示中的环节7说明：

运行工具1，对服务器进行安全检查，也可以按照操作1的方法进行二次验证。

360社区

流程图示中的环节8说明：

管理员确认补丁修复完成，未感染蠕虫后恢复上线。

如果你是本机构的普通电脑用户

• 步骤一：请阅读附件文档的附件1《360针对“永恒之蓝”（蠕虫WANNACRY）攻击预警通告》文档以了解整个事件的全貌，掌握应急响应所需要必备知识
• 步骤二：请准备好工具软件包中的工具1，这些工具软件已经包含在360企业安全为您提供的安全U盘或选择未被感染的电脑从网络上下载，请确保打开U盘的写保护功能，以避免U盘遭受感染。
• 步骤三：<流程3普通电脑用户操作流程>进行自身设备安全检查及处置流程。
  
  

360社区

流程3 普通电脑用户操作流程

流程图示中的环节1说明：

断开所属计算机网络连接，并向管理员获取相关工具1

流程图示中的环节2说明：

启动电脑，观察电脑是否感染，如果存在弹出以下页面，则判断已经被感染。

360社区

流程图示中的环节3说明：

登记关键信息如下，并关闭计算机。

360社区

流程图示中的环节4说明：

运行工具1，对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本，手动选择对应补丁升级。

360社区

流程图示中的环节5说明：

运行工具1，对服务器进行安全检查，也可以按照操作1的方法进行二次验证。

360社区

流程图示中的环节6说明：

管理员确认补丁修复完成、未感染蠕虫后恢复上线。

点击“阅读原文”，下载完整版《周一安全开机操作指南》，查阅下载上文提到的相关文档和工具包。

阅读原文

来源 360企业安全