已感染蠕虫系统发现

被感染的机器屏幕会显示如下的告知付赎金的界面：

360企业安全天眼系统已经更新了检测规则，自动更新规则以后，对发生感染的系统会产生告警。

2、 应急处置方法

在网络层面，目前利用漏洞进行攻击传播的蠕虫开始泛滥，360企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

在终端层面，如果发现445端口开放，需要关闭Server服务。

360企业安全天擎团队已经针对WannaCry勒索蠕虫开发了一个免疫工具，此程序在电脑上运行以后，现有蠕虫将不会感染系统。(免疫工具下载地址：b.360.cn/other/onionwormimmune)

360企业安全新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列，通过更新IPS特征库和应用识别特征库已经完成了蠕虫变种的防护和识别，强烈建议用户尽快将IPS特征库及应用识别特征库均升级至“20170513”版本。

对于已经感染勒索蠕虫的机器建议隔离处置。

3、 根治方法

对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。

对于Windows XP、2003等微软按计划已不再提供安全更新的机器，针对本次影响巨大的网络攻击事件，微软特别提供了补丁，请到如下网址下载安装：

www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务，操作方法见 应急处置方法 节。

4、 恢复阶段

建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。