这款勒索病毒主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：

WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。（#注释：说明一下，“永恒之蓝”是NSA泄露的漏洞利用工具的名称，并不是该病毒的名称#）

根据360威胁情报中心的数据，在短短一天多的时间，勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织，其中包括1600家美国组织，11200家俄罗斯组织。

国内被感染的组织和机构接近3万家，已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，被感染的电脑数字还在不断增长中。

   

针对“永恒之蓝”攻击紧急处置手册

（蠕虫WannaCry）

 

 

2017年5月13日

 

第一章 隔离网主机应急处置操作指南

首先确认主机是否感染

被感染的机器屏幕会显示如下的告知付赎金的界面：

 

如果主机已被感染：
则将该主机隔离或断网（拔网线）。若客户存在该主机备份，则启动备份恢复程序。
如果主机未被感染：
存在3种方式进行防护，均可以避免主机被感染。针对未感染主机，方式三是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一效率最高。从响应效率和质量上， 建议首先采用方式一进行抑制，再采用方式三进行根除。方法如下所示：

步骤一：启用蠕虫快速免疫工具

打开“蠕虫快速免疫工具”文件夹，双击运行 OnionWormImmune.exe 工具

 

软件运行完毕后，打开任务管理器，检查进程中是否存在“OnionWormImmune.exe”，存在即是成功运行。

 

方式二：禁用server服务（可选择不用）

注意：使用这个后，电脑就无法使用打印机，打印服务器不要使用！

2.1方法1（自动版）

1）、打开“漏洞端口关闭”文件夹，如下图；

      

2）、双击“执行我”；

 

3）、在打开的界面中，在“你想继续此操作吗？”中，敲入键盘Y字即可

 

 

2.1方法2（手动版）

1）、在开始菜单的运行输入框输入services.msc，回车，如下图；

 

2）、弹出下图，找到Server，并右键选择“停止”服务

 

3）、接着右键“server”，选择“属性”，在弹出界面中，选择“禁用”，并点击确定

 

 

 

 

步骤三：针对主机进行补丁升级

打开“勒索补丁”文件夹，根据主机的系统版本针对性的选择系统补丁（请注意区分32位和64位系统），双击执行即可。

 

 

 

 

打完补丁，然后重启即可