針對「永恆之藍」攻擊緊急處置手冊（蠕蟲 WannaCry）

首先確認主機是否被感染

　　被感染的機器屏幕會顯示以下的告知付贖金的界面：

　　若是主機已被感染：

　　則將該主機隔離或斷網(拔網線)。若客戶存在該主機備份，則啓動備份恢復程序。

　　若是主機未被感染：

　　則存在四種方式進行防禦，都可以免主機被感染。針對未感染主機，方式二是屬於完全根除的手段，但耗時較長;其餘方式均屬於抑制手段，其中方式一效率最高。

　　從響應效率和質量上，360 建議首先採用方式一進行抑制，再採用方式二進行根除。

　　方式一：啓用蠕蟲快速免疫工具

　　免疫工具的下載地址：http://dl.b.360.cn/tools/OnionWormImmune.exe

　　請雙擊運行 OnionWormImmune.exe 工具，並檢查任務管理器中的狀態。

　　方式二：針對主機進行補丁升級

　　請參考緊急處置工具包相關目錄並安裝 MS17-010 補丁，微軟已經發布winxp_sp3 至 win十、win2003 至 win2016 的全系列補丁。

　　微軟官方下載地址：

　　https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

　　快速下載地址：

　　https://yunpan.cn/cXLwmvHrMF3WI 訪問密碼 614d

　　方式三：關閉 445 端口相關服務

　　點擊開始菜單，運行，cmd，確認。

　　輸入命令 netstat –an 查看端口狀態

　　輸入 net stop rdr 回車

　　net stop srv 回車

　　net stop netbt 回車

　　再次輸入 netsta –an，成功關閉 445 端口。

　　方式四：配置主機級 ACL 策略封堵 445 端口

　　經過組策略 IP 安全策略限制 Windows 網絡共享協議相關端口

　　開始菜單->運行，輸入 gpedit.msc 回車。打開組策略編輯器

　　在組策略編輯器中，計算機配置->windows 設置->安全設置->ip 安全策略下，　　在編輯器右邊空白處鼠標右鍵單擊，選擇「建立 IP 安全策略」

　　下一步->名稱填寫「封端口」，下一步->下一步->勾選編輯屬性，並點完成

　　去掉「使用添加嚮導」的勾選後，點擊「添加」

　　在新彈出的窗口，選擇「IP 篩選列表」選項卡，點擊「添加」

　　在新彈出的窗口中填寫名稱，去掉「使用添加嚮導」前面的勾，單擊「添加」

　　在新彈出的窗口中，「協議」選項卡下，選擇協議和設置到達端口信息，並點肯定。

　　重複第 7 個步驟，添加 TCP 端口 13五、13九、445。添加 UDP 端口 13七、138。添加所有完成後，肯定。

　　選中剛添加完成的「端口過濾」規則，而後選擇「篩選器操做」選項卡。

　　去掉「使用添加嚮導」勾選，單擊「添加」按鈕

　　1. 選擇「阻止」

　　2. 選擇「常規」選項卡，給這個篩選器起名「阻止」，而後「肯定」。點擊