一、防范思路

   需要特别说明的是，对于已经感染WannaCry的计算机，目前没有理想办法实现数据恢复，因此应急防范的重点应当在于尽可能抑制该勒索软件的传播和扩散，使大量可能被感染的计算机和网络具备针对该勒索软件的免疫能力，最大程度上降低受影响的计算机数量和范围。
   由于WannaCry是通过网络传播，且利用Windows系统服务中的漏洞进行感染，因此针对该类型勒索软件的紧急防范，也应该在网络传播途径和Windows终端系统两方面进行应对。
   WannaCry主要通过钓鱼电子邮件传入机构内部网络，因此在网络边界应当部署可以检测到该勒索软件特征的IPS入侵防范系统，绿盟科技在捕获到WannaCry的样本，对其进行分析之后，对应的检测规则已经添加到IPS系统的攻击规则库中，部署了绿盟IPS系统的客户应当尽快进行规则库升级，以实现对WannaCry的有效检测和阻断，这样能够抑制该勒索软件的扩散和传播。
   WannaCry利用Windows系统服务445端口存在的漏洞实现感染，无论是关闭可能存在漏洞的系统服务，还是及时安装微软最新发布的安全补丁，都能够实现针对该勒索软件的有效免疫。 

 

二、应对措施建议

已经被感染的终端用户该怎么办？

   由于WannaCry采用的是AES+RSA的高强度加密机制，因此在没有解密秘钥的情况下，没有有效办法实现文件恢复，似乎向攻击者缴纳赎金是唯一的出路，但是绿盟科技建议受害用户对缴纳赎金持谨慎态度，如同现实中的绑架案件，即便缴纳了赎金仍然频频发生撕票的结果，勒索软件的攻击者也是完全无底线的，目前已有证据表明，有的受害者在约定期限内向攻击者缴纳了赎金，然而攻击者却不按照约定承诺提供解密秘钥，受害者被加密的文件数据仍然无法解密恢复，我们应该清楚认识到，勒索软件的攻击者只是以敲诈受害者的赎金为最终目的的无赖，而远非盗亦有道的江湖侠客。 

 

尚未受感染的终端用户该怎么办？

由于存在着同一网络中已存在被感染的其它Windows计算机，导致WannaCry在内部网络中扩散的风险，尚未受感染的终端用户应当在第一时间于断开网络状态下，紧急屏蔽Windows的445服务端口，最简单的方法是按照如下操作步骤，完成windows防火墙的设置。

屏蔽445服务端口后，用户应尽快完成微软MS17-010安全补丁升级，微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598，链接为：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

另外，由于本次Wannacry蠕虫事件的巨大影响，微软总部决定发布已停服的XP和部分服务器版特别补丁，链接为：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598