首先確認(rèn)主機(jī)是否被感染   

被感染的機(jī)器屏幕會顯示如下的告知付贖金的界面：     

如果主機(jī)已被感染： 

則將該主機(jī)隔離或斷網(wǎng)（拔網(wǎng)線）。若客戶存在該主機(jī)備份，則啟動備份恢復(fù)程序。

如果主機(jī)未被感染： 

則存在四種方式進(jìn)行防護(hù)，均可以避免主機(jī)被感染。針對未感染主機(jī)，方式二是屬于徹底根除的手段，但耗時較長；其他方式均屬于抑制手段，其中方式一效率最高。    

從響應(yīng)效率和質(zhì)量上，360 建議首先采用方式一進(jìn)行抑制，再采用方式二進(jìn)行根除。      

方式一：啟用蠕蟲快速免疫工具  

免疫工具的下載地址：

請雙擊運(yùn)行 OnionWormImmune.exe 工具，并檢查任務(wù)管理器中的狀態(tài)。    

方式二：針對主機(jī)進(jìn)行補(bǔ)丁升級  

請參考緊急處置工具包相關(guān)目錄并安裝 MS17-010 補(bǔ)丁，微軟已經(jīng)發(fā)布 winxp_sp3 至 win10、win2003 至 win2016 的全系列補(bǔ)丁。    

微軟官方下載地址：

快速下載地址：

方式三：關(guān)閉445端口相關(guān)服務(wù) 

點(diǎn)擊開始菜單，運(yùn)行，cmd，確認(rèn)。      

輸入命令 netstat  –an 查看端口狀態(tài)   

輸入 net  stop  rdr回車      

net  stop srv  回車            

net  stop netbt  回車

再次輸入 netsta  –an，成功關(guān)閉 445 端口。

方式四：配置主機(jī)級策略封堵445端口

通過組策略 IP 安全策略限制 Windows 網(wǎng)絡(luò)共享協(xié)議相關(guān)端口  

開始菜單->運(yùn)行，輸入 gpedit.msc 回車。打開組策略編輯器

在組策略編輯器中，計(jì)算機(jī)配置->windows 設(shè)置->安全設(shè)置->ip 安全策略下，在編輯器右邊空白處鼠標(biāo)右鍵單擊，選擇“創(chuàng)建 IP 安全策略”

  下一步->名稱填寫“封端口”，下一步->下一步->勾選編輯屬性，并點(diǎn)完成

去掉“使用添加向?qū)А钡墓催x后，點(diǎn)擊“添加”

在新彈出的窗口，選擇“IP 篩選列表”選項(xiàng)卡，點(diǎn)擊“添加”

在新彈出的窗口中填寫名稱，去掉“使用添加向?qū)А鼻懊娴墓矗瑔螕簟疤砑印?/p>

在新彈出的窗口中，“協(xié)議”選項(xiàng)卡下，選擇協(xié)議和設(shè)置到達(dá)端口信息，并點(diǎn)確定。

重復(fù)第 7 個步驟，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。

添加全部完成后，確定。    

選中剛添加完成的“端口過濾”規(guī)則，然后選擇“篩選器操作”選項(xiàng)卡。

去掉“使用添加向?qū)А惫催x，單擊“添加”按鈕

1.        選擇“阻止”

2.        選擇“常規(guī)”選項(xiàng)卡，給這個篩選器起名“阻止”，然后點(diǎn)擊“確定”。  

3.        確認(rèn)“IP 篩選列表”選項(xiàng)卡下的“端口過濾”被選中。確認(rèn)“篩選器操作” 選項(xiàng)卡下的“阻止”被選中。然后點(diǎn)擊“關(guān)閉”。

4.        確認(rèn)安全規(guī)則配置正確。點(diǎn)擊確定。  

5.        在“組策略編輯器”上，右鍵“分配”，將規(guī)則啟用。