被感染主機會在屏幕顯示類似如下的支付贖金通知的界面：

1）將該主機隔離或斷網(wǎng)（拔網(wǎng)線）,；

2）使用PE盤進入操作系統(tǒng),，將可用文件進行備份，并對備份數(shù)據(jù)進行離線處理,；

3）重新安裝操作系統(tǒng),，或者利用專殺工具[1]清除主機中的勒索軟件；

4）若采用專殺工具方式清除主機中勒索軟件,，則可以利用文件恢復(fù)工具[4]嘗試恢復(fù)部分被勒索軟件加密的文檔,；

5）根據(jù)未感染主機處置流程對主機進行安全防護；

6）若客戶存在該主機備份,，則啟動備份恢復(fù)程序,。

對于未感染主機，可以通過手動修改配置或者使用免疫工具進行防護,，避免主機被感染,。

1、手動修改系統(tǒng)安全配置

主要流程概括如下：

1）關(guān)閉網(wǎng)絡(luò),，開啟系統(tǒng)防火墻,；

2）利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進行連接（該操作會影響使用445端口的服務(wù)）及網(wǎng)絡(luò)共享；

3）打開網(wǎng)絡(luò),，開啟系統(tǒng)自動更新,，并檢測更新進行安裝,。

1.1 Win7,、Win8、Win10的處理流程

1）關(guān)閉網(wǎng)絡(luò)

2）打開控制面板-系統(tǒng)與安全-Windows防火墻,，點擊左側(cè)啟動或關(guān)閉Windows防火墻

3）選擇啟動防火墻,，并點擊確定

4）點擊高級設(shè)置

5）點擊入站規(guī)則，新建規(guī)則,，以445端口為例

6）選擇端口,、下一步

7）選擇特定本地端口，輸入445,，下一步

8）選擇阻止連接,，下一步

9）配置文件，默認全選,，下一步

10）設(shè)置名稱,，可以任意輸入，完成即可,。

11）恢復(fù)網(wǎng)絡(luò)

12）開啟系統(tǒng)自動更新,，并檢測更新進行安裝

注：在系統(tǒng)更新完成后，如果業(yè)務(wù)需要使用SMB服務(wù),，將上面設(shè)置的防火墻入站規(guī)則刪除即可,。

1.2 XP系統(tǒng)的處理流程

1）依次打開控制面板,，安全中心，Windows防火墻,，選擇啟用,。

2）通過注冊表關(guān)閉445端口，單擊“開始”——“運行”,，輸入“regedit”,，單擊“確定”按鈕，打開注冊表,。

3）找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,，選擇“Parameters”項，右鍵單擊,，選擇“新建”——“DWORD值”,。

4）將DWORD值命名為“SMBDeviceEnabled”，值修改為0,。

5）重啟機器,，查看445端口連接已經(jīng)沒有了。

6）安裝微軟總部針對該漏洞（MS17-010）發(fā)布的特別補丁[5],。

2,、使用免疫工具進行防護

1）使用檢測免疫工具[2][3]對系統(tǒng)進行快速免疫；

2）安裝微軟發(fā)布的MS17-010補丁[5],。