从上周五(5月12日)开始,一种(永恒之蓝)勒索蠕虫在全球范围内进行了大规模攻击,加密用户电脑硬盘锁定电脑,索要300美元赎金,上演了一场世界大勒索。
根据360威胁情报中心的统计,在短短一天多的时间,全球近百个国家的超过10万家组织和机构被攻陷,其中包括1600家美国组织,11200家俄罗斯组织。国内已经有29372家机构组织的数十万台机器感染(永恒之蓝),被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。
周一(5月15日)工作日首日,是电脑开机的高峰,也是勒索蠕虫传播的高峰,360安全监测与响应中心为与勒索蠕虫病毒关系密切的服务器管理员、桌面终端管理员、普通用户都提供了完整的安全开机操作指南,具体如下。
如果你是服务器管理员
流程1 服务器管理员操作流程
流程图示中的环节1说明:
该步骤使用工具3检测管辖范围内的服务器是否存在本次勒索蠕虫所利用的漏洞,尽快确认存在漏洞的服务器数量和范围。其中工具3的使用方法:在命令行环境下执行工具3,示例如下:
流程图示中的环节2说明:
如果存在提示,则说明该主机极有可能存在该漏洞,需要立即进行检测及修复。如下图:
流程图示中的环节3说明:
被感染的机器屏幕会显示如下的告知付赎金的界面:
流程图示中的环节4说明:
运行工具1,对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本,手动选择对应补丁升级。
流程图示中的环节5说明:
运行工具1,对服务器进行安全检查,也可以按照环节1的方法进行二次验证。
流程图示中的环节7说明:
经业务部门确认稳定后重新上线。
如果你是桌面终端管理员
流程2 桌面终端管理员操作流程
流程图示中的环节1说明:
紧急通知全体员工断开网络连接提示u盘有写保护,在内网建立工具分发网站或创立多个工具分发介质。
流程图示中的环节2说明:
被感染的机器屏幕会显示如下的告知付赎金的界面:
流程图示中的环节3说明:
如果需要尝试数据恢复操作,请执行操作5
流程图示中的环节4说明:
登记被攻陷主机相关的信息,汇总至管理员,示例如下:
流程图示中的操作5说明:
1)首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击
2)使用360木马查杀功能,清除全部木马,防止反复感染。
3)下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
下载地址:
选择加密文件所在驱动器
扫描后,选择要恢复的文件
强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上
本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高,无法确保能够成功恢复多大比例的文件。
流程图示中的环节6说明:
运行工具1,对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本,手动选择对应补丁升级。
流程图示中的环节7说明:
运行工具1,对服务器进行安全检查,也可以按照操作1的方法进行二次验证。
流程图示中的环节8说明:
管理员确认补丁修复完成,未感染蠕虫后恢复上线。
如果你是本机构的普通电脑用户
流程3 普通电脑用户操作流程
流程图示中的环节1说明:
断开所属计算机网络连接,并向管理员获取相关工具1
流程图示中的环节2说明:
启动电脑,观察电脑是否感染,如果存在弹出以下页面,则判断已经被感染。
流程图示中的环节3说明:
登记关键信息如下,并关闭计算机。
流程图示中的环节4说明:
运行工具1,对服务器进行一键免疫及补丁操作并重新启动系统。也可以根据操作系统版本,手动选择对应补丁升级。
流程图示中的环节5说明:
运行工具1,对服务器进行安全检查提示u盘有写保护,也可以按照操作1的方法进行二次验证。
流程图示中的环节6说明:
管理员确认补丁修复完成、未感染蠕虫后恢复上线。
本文到此结束,希望对大家有所帮助!
