确保禁用 SMBv1 是防止 Ethernalblue 漏洞利用的良好开端。

该恶意软件还使用 WMIC 和 PSEXEC 工具来感染完全修补 Windows 计算机的计算机。建议禁用 WMIC 请参阅此处了解如何禁用 WMIC：https ://msdn.microsoft.com/enus/library/aa826517(v=vs.85).aspx

我还看到有人说要阻止通过 GPO 远程使用本地帐户，但我还没有看到太多关于此的内容。

还有报道称，支付赎金不会用解密密钥奖励你，因为使用的电子邮件已被阻止。

也有一些报道称，如果您在消息出现时立即关闭机器电源，它将不会加密文件。 https://twitter.com/hackerfantastic/status/879775570766245888

更新：现在似乎找到了一个终止开关来阻止攻击，您所要做的就是创建一个文件夹 C:\Windows\perfc

https://twitter.com/TheHackersNews/status/879782531146461185

为了保护自己免受 Petya 病毒的侵害：

创建文件 perfc.dll

在攻击时，Petya 会查找文件 C:\Windows\perfc.dll。如果计算机上已经存在这样的文件，则病毒在没有感染的情况下完成工作。

要创建这样的文件以防止 Petya，您可以使用通常的“记事本”。专家还建议将文件设置为只读，这样病毒就无法对其进行任何更改。

安装安全补丁

该病毒还通过 Windows CVE-2017-0199 和 CVE-2017-0144 的漏洞传播。建议安装关闭它们的安全补丁：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE -2017-0144

我们不仅需要为 Windows 安装安全补丁，还需要为 Microsoft Office 安装安全补丁。

还需要安装补丁来覆盖 WannaCry 先前被利用的漏洞：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

更新防病毒签名

杀毒软件特征库更新时间为 2017 年 6 月 27 日起，不早于 20:00。

块资源

该病毒使用以下地址，您应该阻止对它们的访问：

— 84.200.16[.]242
— 84.200.16[.]242/myguy.xls 
— french-cooking[.]com/myguy.exe
— 111.90.139[.]247
— COFFEINOFFICE[.]XYZ

重要的！出于安全原因设置这些点。不要点击链接。发布这些地址以手动阻止它们。

禁用 TCP 端口

如果网络已经有受感染的工作站或服务器，则必须禁用 TCP 端口 1024-1035、139 和 445。

禁用 SMB 协议

如果您无法安装安全更新，请在工作站和服务器上禁用 SMB v1/v2/v3 协议。

阅读更多： https: //support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

配置攻击拦截

对于 NGFW / NGTP / IPS 安全功能，配置阻止利用 EternalBlue (MS17-010) 的攻击。