瑞星卡卡安全论坛企业产品讨论区瑞星ESM防病毒终端安全防护系统 瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

12   1  /  2  页   跳转

瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

病毒背景介绍

2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统。
本周末,瑞星公司为应对本次病毒成立应急处理小组,瑞星产品全线进行了紧急升级,提供全方位解决方案并开通服务专线。
由于病毒爆发是从周五晚间开始,因此,很多电脑处于关机状态,但到了周一,请广大用户不要轻易开机以及联网,请按照以下“周一开机指南”操作。


一、准备工作


认真阅读瑞星公司发布的关于“WanaCrypt”蠕虫敲诈病毒的文章,了解该病毒的基本原理及危害。
病毒专题地址:http://www.rising.com.cn/2017/eb/

二、内网全局灭活

原理:通过“WanaCrypt”蠕虫敲诈病毒的“域名”开关灭活

该病毒的触发机制是否能访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名,如果访问成功,则不会触发勒索功能。
因此,网管人员可以先在隔离网中建立灭活域名,搭建内部解析服务。可以通过在内部网络搭建DNS Server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到内网WEB Server的IP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。

步骤:管理员在内网内配置DNS服务器
配置域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,将其解析到网络内部可访问任意WEB服务器(80端口)即可。
注:不建议隔离网用户直接连接互联网方式进行灭活。


三、开机


准备工作:下载瑞星“永恒之蓝”免疫工具。

下载地址1:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
下载地址2:https://pan.baidu.com/s/1kVoNT8F

1、首先必须切断网络,即拔掉网线,确保计算机处于断网状态;
2、启动计算机,等待系统进入;
3、进入系统后,运行瑞星“永恒之蓝”免疫工具,点击“一键搞定”即可。




当然,广大用户可以手动方法操作,首先开启Windows自带的系统防火墙,并配置相应规则,具体操作如下:

1)WindowsXP 防火墙设置方法:


2)Win7/Win8/Win10防火墙设置方法:


启用防火墙


高级设置


新建入站规则


创建端口过滤规则


指定协议类型和端口号


阻止连接


4、使用最新版本瑞星杀毒软件进行全盘杀毒。

附1:
如果仍在存在问题或操作有疑问,可以直接咨询瑞星紧急服务热线
瑞星客服联系方式:
在线咨询:http://www.sobot.com/chat/h5/index.html?sysNum=4519e624e2c143cca6149a0d39a7227b
电话:01082616666 7X24小时紧急联系电话:18600176950 / 15611628752

附2:
如果是内网用户,无法访问外网下载补丁,请找一台可以联网的电脑,下载以下列表中的补丁文件,然后将瑞星“永恒之蓝”免疫工具存放在桌面上,并在桌面上建立一个名为data的文件夹,将下载的补丁拷贝到data文件夹中,运行瑞星“永恒之蓝”免疫工具即可一键搞定。

各版本操作系统补丁下载地址:

微软官方下载地址: https://technet.microsoft.com/zh-cn/library/security/ms17-010
也可从瑞星网站下载:


系统补丁号补丁下载地址
Windows XP SP3KB4012598http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Windows XP x64 SP2KB4012598http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 2003 SP2KB4012598http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Windows 2003 x64 SP2KB4012598http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Windows Vista Windows Server 2008KB4012598http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 Windows Server 2008 R2KB4012212http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
KB4012215http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu
Windows 8.1KB4012213http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
KB4012216http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows Server2012KB4012214http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
KB4012217http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012217-x64_96635071602f71b4fb2f1a202e99a5e21870bc93.msu
Windows Server2012 R2KB4012213http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
KB4012216http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows 10KB4012606http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 1511KB4013198http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 1607KB4013429http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu
最后编辑麦青儿 最后编辑于 2017-05-15 17:48:14
分享到:
gototop
 

回复:瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

第一个补丁下载地址无效

还有那些Windows6.0补丁是???
最后编辑天月来了 最后编辑于 2017-05-14 16:34:39
gototop
 

回复:瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

矮油!我去!都闹到这份儿上啦
看来,昨天我看完新闻后跟倒霉孩子交代的没错:周一上班,第一件事情——拔掉所有电脑的网线,再开机。开机后,如果没中招,赶紧把重要数据备份到移动硬盘。然后,再处理其他..............
gototop
 

回复:瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

还有变种已经出来,那个建立域名去阻止病毒做事已经没用了。除非你是第一代
gototop
 

回复: 瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南



引用:
原帖由 天月来了 于 2017-5-14 16:44:00 发表
还有变种已经出来,那个建立域名去阻止病毒做事已经没用了。除非你是第一代
临时抱佛脚的招数也能抵挡一阵子





此外,俺这已经使用多年的老招术(在DOS环境中用DG,定期将重要数据备份到硬盘隐藏分区内),应付这个蠕虫依然管用


最后编辑baohe 最后编辑于 2017-05-14 17:01:55
gototop
 

回复 2F 天月来了 的帖子

改了
最后编辑麦青儿 最后编辑于 2017-05-14 18:42:19
gototop
 

回复: 瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南



引用:
原帖由 baohe 于 2017-5-14 16:42:00 发表
矮油!我去!都闹到这份儿上啦
看来,昨天我看完新闻后跟倒霉孩子交代的没错:周一上班,第一件事情——拔掉所有电脑的网线,再开机。开机后,如果没中招,赶紧把重要数据备份到移动硬盘。然后,再处理其他.............. 


给她拷贝个免疫工具吧
这次真是大爆发, 老老实实装了瑞星杀软防火墙及时打补丁的不会中招, 裸奔的务必小心了
gototop
 

回复: 瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南



引用:
原帖由 天月来了 于 2017-5-14 16:44:00 发表
还有变种已经出来,那个建立域名去阻止病毒做事已经没用了。除非你是第一代


要有新样本发给我啊  所谓的第二代是个乌龙
最后编辑麦青儿 最后编辑于 2017-05-15 03:11:52
gototop
 

回复:瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

瑞星的动作很及时,赞一下。
gototop
 

回复:瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南

体现实力的时候到了!
没事我踩踩!
灌水是我的第一要义!顶贴是我的首要职责!
时令鲜果猕猴桃,有需要的私信我!
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT