勒索病毒應急處理方案
1���、聯系用戶單位重要數據的終端主機中斷公網連接
2�����、聯系人員將相關的補丁發送給用戶�����,進行補丁安裝
3�、對于無法安裝補丁的主機關閉端口�,方法如下:
關閉 445��、135��、137���、138����、139 端口��,關閉網絡共享也可以避免中招�。方法如下:
1)運行 輸入“dcomcnfg”
2)在“計算機”選項右邊�,右鍵單擊“我的電腦”����,選擇“屬性”����。
3)在出現的“我的電腦屬性”對話框“默認屬性”選項卡中����,去掉“在此計算機上啟用分布式 COM”前的勾��。
4)選擇“默認協議”選項卡�����,選中“面向連接的TCP/IP”���,單擊“刪除”按鈕
關閉 135����、137�、138 端口
在網絡鄰居上點右鍵選屬性�����,在新建好的連接上點右鍵選屬性再選擇網絡選項卡�����,去掉 Microsoft 網絡的文件和打印機共享���,和 Microsoft 網絡客戶端的復選框�。這樣就關閉了共享端 135 和 137 還有 138端口
關閉 139 端口
139 端口是 NetBIOS Session 端口����,用來文件和打印共享���。關閉 139 的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議 (TCP/IP)”屬性��,進入“高級 TCP/IP 設置”“WINS設置”里面有一項“禁用 TCP/IP的 NETBIOS ”���,打勾就可關閉 139 端口���。
關閉 445 端口
開始-運行輸入 regedit. 確定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters���,新建名為“SMBDeviceEnabled”的DWORD值�����,并將其設置為 0���,則可關閉 445 端口���。
4����、完成了補丁加固的主機重新連接公網
5��、對于已感染的設備����,確保不寫入數據的情況下進行數據恢復�,有可能成功恢復數據����,不能保證百分百成功�,此條須告知用戶
現場技術防范現場服務流程:
1����、
聯系接口人到現場�,了解情況:個人終端PC數量��,服務器情況(如服務器數量�、安全產品�、操作系統等)
2�、
有重要數據的終端關閉公網連接
3����、
進行現場人員培訓����,提供補丁安裝包���,各種終端自行安裝補丁或關閉端口處理方案
4�、
對于服務器等設備在現場接口人的協調下進行補丁安裝
5�����、
檢查現場安全設備的配置(IPS�、防火墻等)�����,對于可以訪問公網的安全設備�����,應協助其進行版本更新(綠盟���、深信服�、知道創宇�、360)
6����、
對于已感染的設備���,確保不寫入數據的情況下進行數據恢復��,有可能成功恢復數據���,不能保證百分百成功�,此條須告知用戶���。
