周一开机保障指南及工具包详解.PDF

周一开机保障指南及工具包 2017 年 05 月 15 日 目录 第 1 章 事件概述3 第2 章 受影响系统4 第3 章 本文档及工具包的作用5 第4 章 本文档及工具包的内容6 4.1 所包含的文档说明 6 4.2 所包含的工具说明 7 第5 章 风险提示9 5.1 域环境下禁用445 端口风险9 5.2 关键数据被加密的处置建议9 第6 章 安全开机操作指南10 6.1 如果你是网络管理员 10 6.2 如果你是服务器管理员 12 6.3 如果你是桌面终端管理员 18 6.4 如果你是普通电脑用户 26 2 第1章 事件概述 2017 年 4 月，美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武 器被公开，其中有十款工具最容易影响 Windows 用户，包括永恒之蓝、 永恒王者、永恒 浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。 不法分子利用“永恒之蓝”，通过扫描开放 445 文件共享端口的 Windows，无需任何操作， 只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟 货币挖矿机等恶意程序，就像冲击波、震荡波等著名蠕虫一样可以瞬间影响互联网。 2017 年 5 月 12 日晚间起，我国各大高校的师生陆续发现自己电脑中的文件和程序 被加密而无法打开，弹出对话框要求支付比特币赎金后才能恢复，如若不在规定时间内 提供赎金，被加密的文件将被彻底删除。同时，英国多家医院也受到了类似的勒索攻击， 导致医院系统趋于瘫痪，大量病患的诊断被延误。而此次事件不是个案，后续不断报道出 全球各国遭受勒索软件威胁，近100个国家遭受了攻击。加油站、火车站、政府办事终端 等设备以及邮政、医院、电信运营商，部分工业设施等行业都被“中招”，部分设备已完 全罢工，无法使用。 目前，该事件的影响已逐步扩展到国内各类规模的企业内网、教育 网、政府机构 等多类单位。 需要了解该永恒之蓝”(蠕虫 WannaCry) 攻击详情的用户请参考附件 1 《360 针对 “永恒之蓝”（蠕虫WannaCry）攻击预警通告》。 本开机保障指南在线阅读地址： /assets/doc/OnionWorm_handbook.pdf 3 第2章 受影响系统 本次威胁主要影响以下操作系统： 桌面版本操作系统： Windows 2000 Windows XP Windows Vista Windows7 Windows8 Windows8.1 Windows10 服务器版本操作系统： Windows Server 2000 Windows Server 2003 Windows Server 2008 Windows Server 2012 Windows Server 2016 4 第3章 本文档及工具包的作用 由于本次攻击爆发在 5 月 12 日周五下午，感染高峰出现在众多机构下班之后，周六 和周日两天恰逢公休，360 安全监测与响应中心判断在 5 月 15 日周一上班时，存在大量 电脑或服务器开机的情况，此时应该存在新的一轮感染高峰，为了确保周一开机时用户电 脑和服务器免遭病毒感染或避免更大范围的传播，360 企业安全制定了本文档，用于指导 机构用户不同角色根据指南内容进行安全操作。