安天发应对勒索病毒开机指南

安天安全研究与应急处理中心(Antiy CERT)发现，北京时间2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，我国众多行业的内网网络被大规模感染。教育网受损尤为严重，攻击造成了部分教学系统、校园一卡通系统瘫痪。截止到5月14日0时，事件影响范围逐步扩大，包括企业、医疗、电力、能源、银行、交通等多个行业均遭受不同程度的影响。

经过安天CERT紧急分析，判定该勒索软件是一个名称为魔窟“WannaCry”的新家族，目前暂无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

由于“WannaCry”大规模爆发于北京时间周五晚20点，因此国内还有大量政企机构网络节点尚在关机状态。因此，周一开机已经是一场安全考验。安天修订此前的应急手册，网络管理人员和企事业单位人员可根据此开机指南进行相应操作，防止魔窟“WannaCry”勒索软件感染计算机。

周一开机指南

如果您已“中招”请先不要急于重装系统、格式化硬盘等破坏加密文档行为，可先关机封存，根据情况考虑：利用数据文件恢复软件尝试恢复，或等待可能出现的解密方案。

工具准备有如下三种方式可供选择：

安天官网下载

1

蠕虫勒索软件专杀工具(WannaCry)

//www.antiy.com/tools/iep/setup.zip

2

蠕虫勒索软件免疫工具(WannaCry)

//www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

3

安天智甲防勒索免费专版

(WannaCry)

//www.antiy.com/tools.html

网盘合集下载

1

安天工具集：免疫工具+专杀工具+智甲防勒索免费版

光盘版V1.3 ISO //pan.baidu.com/s/1hsDWAHm

U盘版V1.4 //pan.baidu.com/s/1eSb0Vnk 20：10

光盘版ISO V1.4 //pan.baidu.com/s/1eSoYiFC

免疫与专杀工具Web版 //pan.baidu.com/s/1nv9cBAL

免费领用专用光盘或U盘

安天已将工具集、操作手册、离线补丁包刻入专用光盘或U盘，您可向客户经理或工程师进行免费领用。

▲操作步骤流程图

3.1 前期准备

准备移动U盘或者光盘;

下载专杀工具、免疫和防勒索专版工具;

下载安天提供的离线版补丁;(根据系统版本下载相应的补丁，如需在线补丁见[5])

将下载的三款工具及补丁拷贝至U盘或刻入光盘。

3.2 准备开机

拔掉主机网线，开机。

3.3 免疫、打补丁

使用蠕虫勒索软件免疫工具(WannaCry)(本工具提供禁用系统服务、设置ipsec本地组策略等功能，能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件，但不能阻断WannaCry在本机上的运行)。

使用指南：

1、双击工具运行;

2、需要三项免疫策略全部点击(包括设置策略免疫两项与禁止服务免疫);

3、点击官方补丁，通过离线升级包打补丁;或转入微软官网下载补丁。

3.4 专杀

免疫后，使用蠕虫勒索软件专杀工具(WannaCry)，WannaCry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除(但无法解密已经被加密的文件)。

使用指南：

解压缩“setup.zip”文件;

管理员运行解压目录中的“setup.exe”文件;

稍后(默认无界面安装)，安装成功后弹出主界面;

点击“一键云查杀”按钮，进行扫描;

当检测到病毒后，点击“立即处理”。

3.5安装智甲防勒索专版

安装安天智甲防勒索免费专版。说明：如已安装安天私有云安全系统，已具备防勒索功能，无需再安装智甲防勒索专版。

3.5重启联网

重新启动机器，插入网线，连接网络。

内网网络开机指南(管理员必读)

因WannaCry内网具备“开关域名”机制，内网网络中如已有被感染机器，还会向新开机的机器传播感染。

所有内网网络开机风险极高，建议由管理员先建立“开关域名”实现免疫后，其他用户再开机操作。

1建立“开关域名”实现免疫

安天CERT的最新分析结论表明，勒索软件的触发机制是否能访问“开关域名”，如果访问成功，则不会触发勒索功能。原始恶意代码中的“开关域名”是iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[。]com(注：“[]”是为了防止误操作点击刻意添加，实际域名中无“[]”)， 在2017年5月14日23点41分钟发现恶意代码变种中出现了对“开关域名”篡改的域名www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[。]com。

注：不建议内网用户直接连接互联网方式进行“开关域名”。

根据此结论，网络管理人员可以先在内部网中建立开关域名，必须搭建内部解析服务。可以通过在内部网络搭建DNSServer，将“开关域名”地址解析到内网WEB Server的IP地址，同时WEB Server可以接受该域名的连接请求，从而实现免疫。同时，也可以监测内网访问该域名的用户IP地址和用户数量统计出内部用户的感染情况。

特别说明：

1 安天CERT暂未发现不访问“开关域名”即可以加密用户文件的“WannaCry”版本，但不能保证所有已有样本均可以通过此“开关域名”方案免疫该勒索者。

2 安天CERT目前已经在网络中发现有对“开关域名”篡改的恶意代码，所以我们不能保证网络中所有恶意代码实体访问的“开关域名”被恶意篡改，“开关域名”访问过程中被中途拦截而导致对“开关域名”访问不成功，致使恶意代码能够成执行加密用户文档文件。

综上1、2点所述，安天CERT不建议只采取该单一方案来彻底免疫该勒索者，因恶意代码攻击者可以开发新的程序、变换“开关域名”、已有样本也可被恶意篡改等众多可能导致该免疫方案不可靠。

2管理员安装生成免疫与专杀工具Web版

01下载安天免疫与专杀工具Web版，下载地址： //pan.baidu.com/s/1nv9cBAL;

02 解压文件，并复制nginx文件夹到任意盘根目录或纯英文目录;

03 在文件内找到并运行nginx.exe。

如弹出防火墙提示，如图所示，选择所在的网络点击“允许访问”。

打开浏览器，地址栏输入//127.0.0.1或//localhost即可访问。如图所示：

内网用户开机

01 管理员设置该网页的访问地址;

02 内网用户访问网页后，按照网页提示逐步操作即可。

WannaCry勒索者感染用户补救方案

如果用户机器被感染该勒索者，则机器屏幕会显示如下勒索界面：

用户补救方案

01首先拔掉网线，与内网其他机器隔离;

02 使用蠕虫勒索软件免疫工具(WannaCry)免疫;

03 使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

04使用PE盘进入操作系统，将可用文件进行备份，并对备份数据进行离线处理;

05如有重要文件，可尝试文件数据恢复，或等待可能出现的解密方案。

参考链接

[1] 蠕虫勒索软件专杀工具(WannaCry)

//www.antiy.com/response/wannacry/ATScanner.zip

[2] 蠕虫勒索软件免疫工具(WannaCry)

//www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

[3] 安天应对勒索软件“WannaCry”配置指南

//www.antiy.com/response/Antiy_WannaCry_Protection_Manual/Antiy_WannaCry_Protection_Manual.html

[5] 微软补丁地址：

https：//technet.microsoft.com/en-us/library/security/ms17-010.aspx

安天关于#勒索者蠕虫病毒WannaCry#跟进时间表

(截止到2017年5月15日0点)：

2017年5月12日20：20，决定将此前的相关漏洞A级预警，升级为A级灾难响应。

2017年5月12日 22：45 经过测试验证，安天智甲终端防御系统，无需升级即可有效阻断WannaCry的加密行为，安天探海威胁检测系统可以检出WannaCry的扫描包(需要升级到最新特征库)。

2017年5月13日06：00发布分析报告

2017年05月14日 05时22分 更新

《安天紧急应对新型“蠕虫”式勒索软件“WannaCry”全球爆发》//www.antiy.com/response/wannacry.html

综合深度分析该事件、运行流程、解决方案、结论等，微信公众号阅读量在一天之内突破31万。

2017年5月13日17：25发布 《安天应对勒索软件“WannaCry”配置指南》//www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html 详细的处理流程和配置方法

2017年5月13日17：45发布 《安天应对勒索者蠕虫病毒WannaCry FAQ》//www.antiy.com/response/Antiy_Wannacry_FAQ.html

针对大量用户的高频问题进行回复

2017年5月13日19：03 安天发布蠕虫病毒WannaCry免疫工具和扫描工具 下载地址为：//www.antiy.com/tools.html

2017年5月14日5：00发布 《安天应对勒索软件“WannaCry”开机指南》“拒绝刷屏，一份搞定”//www.antiy.com/response/Antiy_Wannacry_Guide.html

2017-05月14日 15：00 CNCERT推荐使用安天免疫和专杀工具应对勒索病毒：//www.cverc.org.cn/yubao/yubao_727.htm

2017年5月14日 17：00，国家网信办网络安全检查共享平台推荐使用安天自查与免疫工具

2017年5月14日18：00，公安部共享平台推荐使用安天自查与免疫工具

2017年，5月14日18：44安天和友商应急团队联合讨论，最终将此蠕虫病毒中文俗名确定为“魔窟”。

2017年，5月14日 19：00 发布安天智甲防勒索免费版

2017年，5月14日20：00 安天继续发布免疫工具V1.2+专杀工具V1.4+智甲防勒索免费版V1.0

佰佰安全网提醒，网络病毒肆虐，在使用电脑等电子产品要做好杀毒，了解相关的网络安全知识，保护自己的电脑安全。