如何做好周一开机保障指南及工具包.docxVIP

周一开机保障指南及工具包2017年05月14日事件概述2017 年 4 月，美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开，其中有十款工具最容易影响 Windows 用户，包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子利用“永恒之蓝”，通过扫描开放445文件共享端口的 Windows，无需任何操作，只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序，就像冲击波、震荡波等著名蠕虫一样可以瞬间影响互联网。2017 年 5 月 12 日晚间起，我国各大高校的师生陆续发现自己电脑中的文件和程序被加密而无法打开，弹出对话框要求支付比特币赎金后才能恢复，如若不在规定时间内供赎金，被加密的文件将被彻底删除。同时，英国多家医院也受到了类似的勒索攻击，导致医院系统趋于瘫痪，大量病患的诊断被延误。而此次事件不是个案，后续不断报道出全球各国遭受勒索软件威胁，近 100 个国家遭受了攻击。加油站、火车站、ATM 机、政府办事终端等设备以及邮政、医院、电信运营商，部分工业设施等行业都被“中招”，部分设备已完全罢工，无法使用。目前，该事件的影响已逐步扩展到国内各类规模的企业内网、教育网、政府机构等多类单位。需要了解该永恒之蓝”(蠕虫 WannaCry) 攻击详情的用户请参考附件1《 360针对“永恒之蓝”（蠕虫WannaCry）攻击预警通告》受影响系统本次威胁主要影响以下操作系统：桌面版本操作系统：Windows 2000Windows XPWindows VistaWindows7Windows8Windows8.1Windows10服务器版本操作系统：Windows Server 2000Windows Server 2003Windows Server 2008Windows Server 2012Windows Server 2016本文档及工具包的作用由于本次攻击爆发在5月12日周五下午，感染高峰出现在众多机构下班之后，周六和周日两天恰逢公休，360安全监测与响应中心判断在5月15日周一上班时，存在大量电脑或服务器开机的情况，此时应该存在新的一轮感染高峰，为了确保周一开机时用户电脑和服务器免遭病毒感染或避免更大范围的传播，360企业安全制定了本文档，用于指导机构用户不同角色根据指南内容进行安全操作。本文档及工具包的内容本指南包含多个文档及工具，下表针对文档和工具提供详细说明。所包含的文档说明序号文档说明文件名1360CERT针对本次攻击的操作指南，包含在不使用安全产品的前提下，如何进行影响范围确定、网络及终端层面的临时抑制方案及相关根治方法及恢复建议。/assets/doc/OnionWorm_Report.pdf附件1 360针对“永恒之蓝”（蠕虫WannaCry）攻击预警通告2360CERT本次攻击的紧急处置手册，包含应急响应推荐操作及隔离网、互联网、网络设备等多个方面的防护操作流程及方法 /1101061855.php?dtid=1101062514did=490458365附件2 针对“永恒之蓝”攻击紧急处置手册（蠕虫WannaCry）3微软相关高危漏洞MSID与KBID对照表，用于检验相关的CVE漏洞是否被修复。人工操作方法：开始菜单运行cmd.exe ,输入systeminfo命令等待返回，从如果返回的补丁信息中包含对应的KB号，漏洞修复成功。//main_web/assets/doc/MSID_KBID_lib.xlsx附件3 微软高危漏洞-MSID与KBID对照表4360追日团队(专业高级威胁追踪溯源团队)针对本次攻击的技术分析报告，包含蠕虫攻击流程、蠕虫利用漏洞分析、相关释放文件分析、勒索加密过程及解密过程分析等模块。/learning/detail/3853.html?from=timelineisappinstalled=1?附件4 WanaCrypt0r勒索蠕虫完全分析报告5360网关产品线对本次攻击的操作指南，包含网络策略配置、IPS防护引擎配置、DNS诱导、失陷主机隔离等多个方面的防护操作流程及方法。其中要注意的是：使用DNS诱导的方法时一定要建立一个运行在80端口的正常的HTTP服务，隔离网用户建议在内部DNS SERVER上同时增加相关DNS诱导配置。/interref/detail/109.html附件5 360防火墙产品针对“永恒之蓝”勒索蠕虫的防护方案v3.16360终端安全产品线针对本次攻击的操作指南，包含临时免疫工具使用、病毒特征更新、补丁升级等多个方面的防护操作流程及方法。//main_web/assets/doc/OnionWorm_protect.docx附