从上周五(5月12日)开始,一种WannaCrypt(永恒之蓝)勒索蠕虫在全球范围内进行了大规模攻击,加密用户电脑硬盘锁定电脑,索要300美元赎金,上演了一场世界大勒索。
根据360威胁情报中心的统计,在短短一天多的时间,全球近百个国家的超过10万家组织和机构被攻陷,其中包括1600家美国组织,11200家俄罗斯组织。国内已经有29372家机构组织的数十万台机器感染WannaCrypt(永恒之蓝),被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。 周一(5月15日)工作日首日,是电脑开机的高峰,也是勒索蠕虫传播的高峰,360安全监测与响应中心为与勒索蠕虫病毒关系密切的服务器管理员、桌面终端管理员、普通用户都提供了完整的安全开机操作指南,具体如下。 如果你是服务器管理员
流程1 服务器管理员操作流程 流程图示中的环节1说明: 该步骤使用工具3检测管辖范围内的服务器是否存在本次勒索蠕虫所利用的漏洞,尽快确认存在漏洞的服务器数量和范围。其中工具3的使用方法:在命令行环境下执行工具3,示例如下:
流程图示中的环节2说明: 如果存在VULNERABLE提示,则说明该主机极有可能存在该漏洞,需要立即进行检测及修复。如下图: 流程图示中的环节3说明: 被感染的机器屏幕会显示如下的告知付赎金的界面: 流程图示中的环节4说明: 运行工具1,对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本,手动选择对应补丁升级。 流程图示中的环节5说明: 运行工具1,对服务器进行安全检查,也可以按照环节1的方法进行二次验证。 经业务部门确认稳定后重新上线。
流程2 桌面终端管理员操作流程 流程图示中的环节1说明: 紧急通知全体员工断开网络连接,在内网建立工具分发网站或创立多个工具分发介质。 流程图示中的环节2说明: 流程图示中的环节3说明: 如果需要尝试数据恢复操作,请执行操作5 流程图示中的环节4说明: 登记被攻陷主机相关的信息,汇总至管理员,示例如下: 流程图示中的操作5说明: 1)首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击 2)使用360木马查杀功能,清除全部木马,防止反复感染。 3)下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件 下载地址: http://dl./recovery/RansomRecovery.exe 选择加密文件所在驱动器 扫描后,选择要恢复的文件 强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上 本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高,无法确保能够成功恢复多大比例的文件。 流程图示中的环节6说明: 流程图示中的环节7说明: 运行工具1,对服务器进行安全检查,也可以按照操作1的方法进行二次验证。 管理员确认补丁修复完成,未感染蠕虫后恢复上线。
流程3 普通电脑用户操作流程 流程图示中的环节1说明: 断开所属计算机网络连接,并向管理员获取相关工具1 流程图示中的环节2说明: 启动电脑,观察电脑是否感染,如果存在弹出以下页面,则判断已经被感染。 流程图示中的环节3说明: 登记关键信息如下,并关闭计算机。 流程图示中的环节4说明: 流程图示中的环节5说明: 流程图示中的环节6说明: 管理员确认补丁修复完成、未感染蠕虫后恢复上线。 |
|