1）将该主机隔离或断网（拔网线）；

2）使用PE盘进入操作系统，将可用文件进行备份，并对备份数据进行离线处理；

3）重新安装操作系统，或者利用专杀工具[1]清除主机中的勒索软件；

4）若采用专杀工具方式清除主机中勒索软件，则可以利用文件恢复工具[4]尝试恢复部分被勒索软件加密的文档；

5）根据未感染主机处置流程对主机进行安全防护；

6）若客户存在该主机备份，则启动备份恢复程序。

对于未感染主机，可以通过手动修改配置或者使用免疫工具进行防护，避免主机被感染。

1、手动修改系统安全配置

主要流程概括如下：

1）关闭网络，开启系统防火墙；

2）利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）及网络共享；

3）打开网络，开启系统自动更新，并检测更新进行安装。

1.1 Win7、Win8、Win10的处理流程

1）关闭网络

2）打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

3）选择启动防火墙，并点击确定

4）点击高级设置

5）点击入站规则，新建规则，以445端口为例

6）选择端口、下一步

7）选择特定本地端口，输入445，下一步

8）选择阻止连接，下一步

9）配置文件，默认全选，下一步

10）设置名称，可以任意输入，完成即可。

11）恢复网络

12）开启系统自动更新，并检测更新进行安装

注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。

1.2 XP系统的处理流程

1）依次打开控制面板，安全中心，Windows防火墙，选择启用。

2）通过注册表关闭445端口，单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。

3）找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

4）将DWORD值命名为“SMBDeviceEnabled”，值修改为0。

5）重启机器，查看445端口连接已经没有了。

6）安装微软总部针对该漏洞（MS17-010）发布的特别补丁[5]。

2、使用免疫工具进行防护

1）使用检测免疫工具[2][3]对系统进行快速免疫；

2）安装微软发布的MS17-010补丁[5]。