业界发布基于Petya勒索病毒的全自动补丁方案

1.普通用户请按照如下步骤做预防：

步骤1：先不让电脑接入到网络，禁用有/无线网卡

步骤2：对重要文件做离线备份。

步骤3：禁用MSI服务，同时针对勒索软件利用的端口进行阻断，使用未感染的U盘，拷贝禁用端口脚本文件(详询盈高科技官网)到终端上，以管理员身份运行。终端会弹出以下窗口，执行完毕后，窗口

步骤4：使用微软发布的操作系统补丁修复，将对应补丁拷贝到U盘，在电脑上安装。

各操作系统对应补丁可以详询盈高科技官网。

2.全自动补丁解决方案

本方案主要采用ASM入网规范管理系统特有的针对Petya勒索软件的组合方案：禁用WMI服务+端口阻断+补丁修复，且都需执行。另外请用户加强电子邮件安全管理，不要轻易点击不明附件，尤其是rtf、doc等格式的附件。

禁用WMI服务：服务名称为Winmgmt，使用ASM自带的系统服务检查功能，自动禁用该服务。注：如果此服务被终止，多数基于 Windows 的软件将无法正常运行，且依赖它的服务将无法启动。

端口阻断： 445、135、137、138、139(网络中如有业务使用到这些端口，将会受到影响)，使用ASM特有的任务自动下发功能，将阻断脚本推送到终端。

补丁安装：需安装MS17-010(5月份爆发勒索病毒对应补丁，如已安装可忽略)、Office CVE-2017-0199相关补丁，通过ASM特有的补丁检查和软件分发自动将补丁下发到终端。

WMI服务禁用

使用ASM设备安全规范中系统服务检查安检项，添加服务名称Winmgmt，并开启自动禁用服务策略：

端口阻断

ASM入网规范管理系统专门针对Petya勒索软件开发的端口自动阻断脚本，(详询盈高科技官网)，可使用ASM入网规范管理系统的软件分发功能进行自动下发执行。

后续如需要开启已阻断的端口，请运行另一个程序脚本MS17-010补丁自动化安装

方案1： ASM入网规范管理系统支持操作系统补丁自动下载修复

请确保ASM设备补丁库已升级到2017-06-20，然后使用ASM特有的全自动补丁分发功能进行全网补丁下发。

方案2：使用ASM自带的软件下发安装功能

必需的补丁共包含8个文件，2个脚本/程序(RepairConfig.txt、S17-010_Repair.exe)，6个补丁文件(包含xp sp3、win7sp1、win8)，如需对win8系统补丁下发，请一并上传到ASM入网规范管理系统，并通过软件自动分发功能予以全网实施：

注：在测试中发现，win8系统相关的补丁可能存在无法安装的情况，建议参照微软的勒索软件RansomWin32WannaCrypt防范及修复指南查看。

注：win8.1和win10用户的补丁安装步骤较为复杂，请联系盈高科技工程师索取详细自动化部署手册予以协助安装。

Office CVE-2017-0199自动化安装

可以咨询盈高科技获取相关补丁，共包含7个文件，2个是脚本程序(RepairConfig_office.txt、Office CVE-2017-0199.exe)，5个office文件，下载到本地后可以使用ASM入网规范管理系统的自动化软件分发任务进行实施。

盈高准入控制方案可帮助客户进行全自动批量补丁更新，使未打补丁的网络终端自动修复并做安全加固，免受勒索威胁。遇到突发性安全事件，能够在事件发生的第一时间提供自动化的缓解方案将使用户首先吃下定心丸，并大大降低网络安全的运维强度。从这个角度来看，网络准入控制由于掌握着全网的接入边界，在对终端进行自动化缓解控制方面具有无可替代的作用。

盈高科技将持续关注该事件，如有更新，我们会第一时间发布。