当前位置: 首页 >> 网络安全 >> 正文
WannaCry勒索病毒处理指南
2017-05-15 网络信息中心

北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件在全球范围内爆发,被攻击者电脑中的文件被加密,被要求支付赎金以解密文件;本次事件影响范围广泛,为避免校园网用户遭受损失,网络信息中心发布本处理指南,意在为用户在遭受攻击前后,提供相关处理的参考方案。

事前预防

事前预防包含:“封堵漏洞、预防中毒”以及“备份数据,安装安全软件”。

封堵漏洞,预防中毒

本指南提供A、B两种方案,选择任意一种方案即可。如对操作系统不熟悉,推荐使用A方案。

>>>>方案A:(推荐方案)使用安全软件勒索病毒免疫工具

一、安装使用腾讯电脑客家安全软件防御

1、下载地址:http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe

2、使用方案:下载后直接运行。如出现下图的操作系统用户账户控制,请选择“是”。

二、安装使用360安全软件防御

1、首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击

2、使用360木马查杀功能,清除全部木马,防止反复感染。
 
360安全卫士离线救灾版: https://down.360safe.com/setup_jiuzai.exe
通过360推出的“NSA武器库免疫工具”进行防范
(NSA武器库免疫工具下载: http://dl.360safe.com/nsa/nsatool.exe

>>>>方案B:手动关闭端口,下载安装补丁

1、在微软官方页面下载操作系统补丁

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、利用防火墙添加规则屏蔽入口

● 开始菜单 > 打开控制面板 > 选择Windows防火墙

● 如果防火墙没有开启,点击“启动或关闭 Windows防火墙”启用。

● 点击“高级设置”,然后左侧点击“入站规则”,再点击右侧“新建规则”。

● 在打开窗口哦选择要创建的规则类型为“端口”,并点击“下一步”。

● 在“特定本地端口”处填入445并点击“下一步”,选择“阻止连接”,一直点击“下一步”,并给规则任意命名后点击完成即可。

注:不同系统可能有些差异,不过操作类似

备份数据、安装安全软件、开启防护

1、对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份。

2、部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。

3、目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家、360安全卫士,开启实时防护,避免遭受攻击。

4、可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)。

事后病毒处理

1、首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器。

2、病毒清理。相关安全软件(如电脑管家、360安全卫士)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)。

3、也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作。

4、下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件。
下载地址:
http://dl.360safe.com/recovery/RansomRecovery.exe
选择加密文件所在驱动器

扫描后,选择要恢复的文件

强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上

本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。
 

关闭

河南中医药大学版权所有
© 2021Henan University of TCM
邮编:450046
河南省 郑州市 郑东新区 金水东路156号
信息化24小时服务电话:
187 9026 4110(内部小号6110)
办公电话:0371-65962530
电子邮箱:wlxxzx@hactcm.edu.cn
办公地址:综合实验楼A区803