用户已经安装OSCE产品的解决方案：

由于该病毒主要通过微软445端口漏洞传播，方案涉及禁用客户端445端口，请根据业务衡量是否使用该步骤，如不使用可以跳过，使用其他步骤进行防护，建议使用。

1)      升级OSCE的病毒码为最新，2017.5.13日最新病毒码：13.404.60

2)      启用防火墙功能，关闭445等相关端口

启用防火墙

配置防火墙

加入禁止445端口访问的规则

策略配置后，会使用禁止445端口数据包

3)      启动爆发阻止功能，禁止端口和具体病毒文件写入系统。

启用爆发阻止，设置时间为65535（长期）

封闭端口（双向）

在爆发阻止中禁止对文件和文件夹写入，添加如下文件禁止写入。

mssecsvc.exe

tasksche.exe

b.wnry

c.wnry

r.wnry

s.wnry

t.wnry

u.wnry

Taskdl.exe

Taskse.exe

后期可以不断加入我们发现的新的病毒文件名字。

启用爆发阻止，点击“确定”。

“爆发阻止启动时通知用户”勾选时，用户会收到如下通知，不勾选则不会通知客户端。

策略生效后，客户端445端口禁止访问，

客户端出的445端口也会禁止访问

当我们禁止的文件名写入时，会被拒绝，无法写入。

4)      启动OSCE的反勒索软件引擎

启用行为监控设置

选用阻止勒索软件功能。

功能启用后，会阻止非授权的加密。

注意：启用该功能，可能会对出现客户端误判，当客户有加密软件时，需要添加例外操作。

5)      安装MS17-010补丁

安装MS17-010补丁，https://technet.microsoft.com/zh-cn/library/security/ms17-mar.aspx

WINXP/2003: ttps://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

亚信安全深度威胁发现设备TDA于2017年4月26日已发布检测规则（Rule ID 2383），针对透过微软SMB远程代码执行漏洞CVE-2017-0144（MS17-010）所导致的相关网络攻击进行检测。利用此漏洞的攻击包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测，让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端，以实施相对应的响应措施。同时，用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。

针对微软远程代码执行漏洞[1008306 -Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略，用户只需要对虚拟化系统做一次"建议扫描"操作，就能自动应用该策略，无论是有代理还是无代理模式，都能有效防护该勒索软件。

1)      启用入侵防御。在策略----入侵防御规则中----选中和MS17-010相关的补丁。

2)      启用防火墙禁止445端口访问

Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则（规则名称：微软MS17 010 SMB远程代码执行1-4 规则号:1133635, 1133636, 1133637, 1133638）。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。

针对加密勒索软件攻击，用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击，只需在Web渠道通过IPS或防火墙规则即可拦截，但广大用户切不可掉以轻心，因为还有大量的勒索软件攻击是通过邮件渠道发起的，我们还需要在邮件入口处加以防范，防止勒索软件卷土重来。

为非亚信安全用户，提供亚信安全OSCE客户端，查杀现有最新的勒索软件病毒

OSCE离线安装客户端：

32位 & 64位：https://pan.baidu.com/s/1i50xopf#list/path=%2F

安装包中包含2017年5月13日最新的病毒码13.404.60，可以查杀目前已收集到的所有样本。安装包开放了外网更新权限和手动配置的权限。

如客户端环境可以上互联网，则可以从外网直接更新到最新的病毒码。

如不能上互联网，可选用以下三种方式：

1. 手动到http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/Pattern/  下载最新病毒码；

2. 退出客户端后，把下载的病毒码放入到officescan客户端的安装目录下

   
   

3. 在开始程序中再次启动officescan 客户端，即可更新客户端病毒码为最新的病毒码。

   
   

1. 开机注意事项。在无法确认是否安装最新补丁、禁用445端口的情况下，为避免被该病毒感染，开机前请断开和外网连接，执行禁用445端口和安装补丁操作后再连接外网。

2. 以管理员身份登陆系统

3. 执行“WannaCry加固脚本.bat”，选择操作系统，完成加固工作

   该脚本会在客户端上禁止445端口。

4. 安装MS17-010对应的Microsoft Windows SMB 服务器安全更新(4013389)补丁程序。

5. 备份重要文档。最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

（特别感谢亚信安全技术专家团队及李峰）