5月12日，名为“要加密”（Wannacry）的“蠕虫”式勒索软件在全球较大规模传播。该软件利用Windows SMB服务漏洞，对计算机中的文档、图片等实施高强度加密，并勒索赎金。目前，包括高校、能源等重要信息系统在内的多类用户受到攻击，已对我国互联网络构成较为严重的安全威胁。５月13日，市委网信办已对全市有关单位发出预警通报。

市委网信办等四部门建议广大互联网用户：

一、微软已经发布相关的补丁 MS17-010 用以修复被 “Eternal Blue”攻击的系统漏洞，请尽快安装此安全补丁，网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010。对于 windows XP、Windows 2003 等更加久远的系统，微软则不再提供安全补丁，请通过关闭端口的方式进行防护。

在 Windows 电脑上运行系统自带的免费杀毒软件并启用 Windows Updates 的用户可以免受这次病毒的攻击。Windows10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新，同时可以通过设置-Windows Defender，打开安全中心。

二、关闭 445、135、137、138、139 端口，关闭网络共享，也可以避免中招。

（一）方法

1、运行 输入“dcomcnfg”。

2、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。

3、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式 COM”前的勾。

4、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

（二）关闭 445 端口

开始-运行输入 regedit. ，确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters，新建名为“SMBDeviceEnabled”的DWORD值，并将其设置为 0，则可关闭 445 端口。

（三）关闭 135、137、138 端口

在网络邻居上点右键选属性，在新建好的连接上点右键选属性，再选择网络选项卡，去掉 Microsoft 网络的文件和打印机共享，以及 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 、137、138端口。

（四）关闭 139 端口

139 端口是 NetBIOS Session 端口，用来文件和打印共享。关闭 139 的方法是：在“网络和拨号连接”中的“本地连接”中，选取“Internet协议 (TCP/IP)”属性，进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的 NETBIOS ”，打勾就可关闭 139 端口。

市委网信办24小时值班电话：022-83609067

天津市委网信办

天津市工业和信息化委员会

天津市公安局

天津市国家安全局

一、已感染主机应急隔离办法

鉴于WannaCry蠕虫具有极大的危险性，所有已知的被感染主机务必脱离当前工作网络进行隔离处理。

针对已被蠕虫破坏的文件，截至2017/5/14尚未发现任何有效恢复手段。为防止蠕虫进一步传播，禁止将被感染主机任何文件拷贝至其他主机或设备，严格禁止将已知的被感染主机重新接入任何网络。

二、重要文件应急处理办法

为保证重要文件不被WannaCry蠕虫破坏，最大程度减小损失，所有未受感染主机或不确定是否感染的主机禁止开机。

对该类型主机需采取物理拷贝的方式进行处理，即：由专业人员打开主机，将全部存放重要文件的硬盘取出，并使用外置设备挂载至确定未受感染的主机进行拷贝。

为防止二次感染，拷贝出的文件务必在隔离区进行处理。

严格禁止将可能被感染的硬盘通过IDE、SATA等主板接口直接挂载至拷贝机，以防止拷贝机使用此硬盘启动，从而导致可能的被感染行为。

对网络中现有的、曾经接入过的所有windows主机都应当采取上述方法进行重要文件备份。

物理拷贝流程结束后，按照：三、 主机应急检测策略 进行应急检测处理。

对于暂时没有上述条件的或因某些情况必须开机的，务必保证在脱离办公网络环境下保持接入互联网开机（例如4G网络、普通宽带等），同时必须做到全程保持互联网畅通。

（接入互联网成功的标准为：可以在浏览器中打开以下网站，并看到如图所示内容：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

）

对于无法接入互联网的涉密机，务必在内网配置web服务器，并将上述域名解析至可访问的内网服务器中。

此内网服务器的主页务必返回以下内容：

sinkhole.tech - where the bots party hard and the researchers harder.

<!-- h4 -->

在临时开机处理结束后，关机并进行物理拷贝流程。

三、主机应急检测策略

针对物理拷贝结束后的主机，需进行以下处理：

检测被挂载硬盘的windows目录，查看是否存在文件：mssecsvc.exe，如果存在则证明被感染。

针对其他已开机的主机，检查系统盘windows目录中是否存在文件：mssecsvc.exe；检查系统中是否存在服务mssecsvc2.0（具体操作见本部分结尾）。存在任何之一则证明已受感染。

针对存在防火墙其他带有日志功能设备的网络，检查日志中是否存在对域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析，若存在则证明网络内存在被感染主机。

针对检测出的受感染主机，务必在物理拷贝流程结束后对所有硬盘进行格式化处理。

类似主机如果存在2017/4/13之前的备份，可进行全盘恢复操作（包含系统盘以及其他全部），在此时间之后的备份可能已被感染，不得进行恢复。

针对已知存在受感染主机的网络，禁止打开已关闭主机，同时对此类主机进行物理拷贝流程。对于已开机的主机，立即进行关机，并进行物理拷贝流程。

附：检查服务的方法：

按window + R键打开“运行”窗口：

输入services.msc回车，打开服务管理页面：

检查“名称”一栏中所有项目，存在mssecsvc2.0则表明被感染。

市委网信办

市网络安全与信息化技术测评中心

 四、未受感染主机应急防御策略

针对未受感染的主机，存在以下四种应急防御策略。

其中 策略一为最有效的防御手段，但耗时较长。其他策略为临时解决方案，供无法实行策略一时临时使用。

应用策略二或策略三的主机将无法访问网络中的共享，请慎重使用。

在无法立即应用策略一时，建议首先应用策略四进行临时防御。无论使用了哪种临时策略，都必须尽快应用策略一以做到完整防御。

针对windows 10版本之下的主机，建议升级至windows 10并更新系统至最新版本。因情况无法升级的，务必使用一种应急防御策略进行防御。

策略一：安装MS17-010系统补丁

根据系统版本，安装ms17-010漏洞补丁。其中windows 7以及更高版本可以通过自动更新安装全部补丁获得，windows xp、windows 2003以及windows vista可以通过安装随文档提供的临时工具获得。

此补丁微软提供的官方下载地址为：

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

策略二：关闭漏洞相关服务

可通过专业人员使用以下命令对漏洞相关服务进行关闭：

sc stop LmHosts

sc stop lanmanworkstation

sc stop LanmanServer

sc config LmHosts start=DISABLED

sc config lanmanworkstation start=DISABLED

sc config LanmanServer start= DISABLE

策略三：配置防火墙禁止漏洞相关端口

针对windows 2003或windows xp系统，点击开始菜单，并打开“控制面板”。

在控制面板中双击“windows 防火墙”选项，点击“例外”选项卡，取消勾选“文件和打印机共享”，并点击确定。

针对windows 7及以上系统，点击开始菜单，打开“控制面板”，点击“系统和安全”“Windows 防火墙”。

在windows防火墙配置页面，点击“允许程序或功能通过windows防火墙”选项，点击上方的“更改设置”：

在列表中找到“文件和打印机共享”的复选框，取消勾选，最后点击确定。

      策略四：使用漏洞防御工具

360公司提供了蠕虫免疫工具进行临时防御，此工具可以在360网站下载。

直接执行此工具即可进行简单的临时防御，每次重启主机都必须重新执行此工具。

 五、公网服务器与网络应急安全防御策略

针对公网服务器（例如网站、公开系统等）多数可以连接至互联网，对于windows 2008 r2及更高版本的服务器，建议打开系统的“自动更新”功能，并安装全部漏洞补丁。

对于windows 2003服务器，可选择 四、未受感染主机应急防御策略 中的 策略一 进行防御，同时建议尽快升级至更高版本的服务器（如windows 2008 r2等）。

针对内部网络，需要在保证主机安全的情况下防止可能的传染。

无需使用共享功能的，可在防火墙、路由器等设备上禁止445端口的访问。

由于此蠕虫使用域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com作为“发作开关”，在无法访问此域名时即刻发作。因此，禁止在防火墙、IPS等网络安全设备上拦截该域名，否则会触发已感染主机的加密流程，造成不可挽回的损失。

使用内网私有dns的，务必配置此域名的解析，并将其指向内网中存活的web服务器。此内网服务器的主页需返回以下内容：

sinkhole.tech - where the bots party hard and the researchers harder.

<!-- h4 -->

市委网信办

市网络安全与信息化技术测评中心