1、系统中招后,病毒会加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,病毒更改终端背景图片提出勒索要求,如下:
2、隔离受感染主机全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。
3、切断内网传播途径内网交换机上配置访问控制策略,禁鸦泸嚏烊止内网之间的135、137、139、445端口的访问权限。具体操作方案可参照对应交换机产品的操作手册。1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。 2)445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法对外系统服务。例如:打印机、共享文件夹等应用。
4、切断外网传播途径使用安全设备开启漏洞防护功能,或藤舔趾贶者在安全网关上限制135、138、139、445等访问端口进行防护。具体操作可与安全设备对应厂商进行确认。1)安全网关设备开羌瑗朴膂启对应防护规则应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。2)安全网关通过限制访问端口进行防护如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。
5、修复或规避潜在的漏洞1、关闭潜在服务器的SMB服务及端口 ,开启服务器防火墙2、服务器重要数据做好备份处理3、安装微软系统补丁,修复系统漏洞