针对WannaCry蠕虫感染应急处理办法（上）

鉴于WannaCry蠕虫具有极大的危险性，所有已知的被感染主机务必脱离当前工作网络进行隔离处理。

针对已被蠕虫破坏的文件，截至2017/5/14尚未发现任何有效恢复手段。为防止蠕虫进一步传播，禁止将被感染主机任何文件拷贝至其他主机或设备，严格禁止将已知的被感染主机重新接入任何网络。

为保证重要文件不被WannaCry蠕虫破坏，最大程度减小损失，所有未受感染主机或不确定是否感染的主机禁止开机。

对该类型主机需采取物理拷贝的方式进行处理，即：由专业人员打开主机，将全部存放重要文件的硬盘取出，并使用外置设备挂载至确定未受感染的主机进行拷贝。

为防止二次感染，拷贝出的文件务必在隔离区进行处理。

严格禁止将可能被感染的硬盘通过IDE、SATA等主板接口直接挂载至拷贝机，以防止拷贝机使用此硬盘启动，从而导致可能的被感染行为。

对网络中现有的、曾经接入过的所有windows主机都应当采取上述方法进行重要文件备份。

物理拷贝流程结束后，按照：三、 主机应急检测策略 进行应急检测处理。

对于暂时没有上述条件的或因某些情况必须开机的，务必保证在脱离办公网络环境下保持接入互联网开机（例如4G网络、普通宽带等），同时必须做到全程保持互联网畅通。

（接入互联网成功的标准为：可以在浏览器中打开以下网站，并看到如图所示内容：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

）

对于无法接入互联网的涉密机，务必在内网配置web服务器，并将上述域名解析至可访问的内网服务器中。

此内网服务器的主页务必返回以下内容：

sinkhole.tech - where the bots party hard and the researchers harder.

在临时开机处理结束后，关机并进行物理拷贝流程。

针对物理拷贝结束后的主机，需进行以下处理：

检测被挂载硬盘的windows目录，查看是否存在文件：mssecsvc.exe，如果存在则证明被感染。

针对其他已开机的主机，检查系统盘windows目录中是否存在文件：mssecsvc.exe；检查系统中是否存在服务mssecsvc2.0（具体操作见本部分结尾）。存在任何之一则证明已受感染。

针对存在防火墙其他带有日志功能设备的网络，检查日志中是否存在对域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析，若存在则证明网络内存在被感染主机。

针对检测出的受感染主机，务必在物理拷贝流程结束后对所有硬盘进行格式化处理。

类似主机如果存在2017/4/13之前的备份，可进行全盘恢复操作（包含系统盘以及其他全部），在此时间之后的备份可能已被感染，不得进行恢复。

针对已知存在受感染主机的网络，禁止打开已关闭主机，同时对此类主机进行物理拷贝流程。对于已开机的主机，立即进行关机，并进行物理拷贝流程。

附：检查服务的方法：

按window + R键打开“运行”窗口：

输入services.msc回车，打开服务管理页面：