一、已感染主机应急隔离办法
鉴于WannaCry蠕虫具有极大的危险性,所有已知的被感染主机务必脱离当前工作网络进行隔离处理。
针对已被蠕虫破坏的文件,截至2017/5/14尚未发现任何有效恢复手段。为防止蠕虫进一步传播,禁止将被感染主机任何文件拷贝至其他主机或设备,严格禁止将已知的被感染主机重新接入任何网络。
二、重要文件应急处理办法
为保证重要文件不被WannaCry蠕虫破坏,最大程度减小损失,所有未受感染主机或不确定是否感染的主机禁止开机。
对该类型主机需采取物理拷贝的方式进行处理,即:由专业人员打开主机,将全部存放重要文件的硬盘取出,并使用外置设备挂载至确定未受感染的主机进行拷贝。
为防止二次感染,拷贝出的文件务必在隔离区进行处理。
严格禁止将可能被感染的硬盘通过IDE、SATA等主板接口直接挂载至拷贝机,以防止拷贝机使用此硬盘启动,从而导致可能的被感染行为。
对网络中现有的、曾经接入过的所有windows主机都应当采取上述方法进行重要文件备份。
物理拷贝流程结束后,按照:三、 主机应急检测策略 进行应急检测处理。
对于暂时没有上述条件的或因某些情况必须开机的,务必保证在脱离办公网络环境下保持接入互联网开机(例如4G网络、普通宽带等),同时必须做到全程保持互联网畅通。
(接入互联网成功的标准为:可以在浏览器中打开以下网站,并看到如图所示内容:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
)
对于无法接入互联网的涉密机,务必在内网配置web服务器,并将上述域名解析至可访问的内网服务器中。
此内网服务器的主页务必返回以下内容:
sinkhole.tech - where the bots party hard and the researchers harder.
在临时开机处理结束后,关机并进行物理拷贝流程。
三、主机应急检测策略
针对物理拷贝结束后的主机,需进行以下处理:
检测被挂载硬盘的windows目录,查看是否存在文件:mssecsvc.exe,如果存在则证明被感染。
针对其他已开机的主机,检查系统盘windows目录中是否存在文件:mssecsvc.exe;检查系统中是否存在服务mssecsvc2.0(具体操作见本部分结尾)。存在任何之一则证明已受感染。
针对存在防火墙其他带有日志功能设备的网络,检查日志中是否存在对域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析,若存在则证明网络内存在被感染主机。
针对检测出的受感染主机,务必在物理拷贝流程结束后对所有硬盘进行格式化处理。
类似主机如果存在2017/4/13之前的备份,可进行全盘恢复操作(包含系统盘以及其他全部),在此时间之后的备份可能已被感染,不得进行恢复。
针对已知存在受感染主机的网络,禁止打开已关闭主机,同时对此类主机进行物理拷贝流程。对于已开机的主机,立即进行关机,并进行物理拷贝流程。
附:检查服务的方法:
按window + R键打开“运行”窗口:
输入services.msc回车,打开服务管理页面:
检查“名称”一栏中所有项目,存在mssecsvc2.0则表明被感染。
市委网信办
市网络安全与信息化技术测评中心