勒索软件风暴来袭!预防方法大解析

这次的勒索软件真的确确实实影响了全球,在上礼拜就开始有许多的灾情传出,如果还没中毒的各位不凡赶紧断网进行备份,不然你的珍贵相片或档案被加密后就惨了!

02

不按 FILE / 连结也中招

相信很多读者都是聪明人,平常不会乱按 e-mail 连结或开启不明档案,但这种 WannaCry 病毒并不需要点击开启任何执行档,它利用了 Windows 的 SMB 漏洞于Port 445 进行攻击并于远程执行,让你防不胜放。

00001

为何全球同一时间中伏

其实这个漏洞一早已被发现,不过很多旧版 Windows 用家未有更新修正文件,中上 WannaCry 病毒也不知,从数据显示此病毒有潜伏期, 被设定 5 月 12 日是爆发日子,因此由昨天病毒全球爆发,现时台湾成全球第二重灾区,香港受害者也急速上升中,在<这里>可以实时看到此病毒全球覆盖图

01 (6)

不少公共设施也中招

002-12 002-14

几乎全 Windows 版本会中伏

这款 Wcry 病毒并不只针对阁下,在座全部版本的 Windows 都是受害者,当中包括 :

Windows 10(1507,1511,1607)

Windows 8 / 8.1

Windows 7

Windows Vista

Win Server 2008、2008 R2、2012、2012 R2

Windows RT

Windows XP

 

Win 10 自动更新者可逃过一劫

其实此病毒未爆发前,微软已于  3 月 14  日的更新檔中修正,如果你是 Win 10 用家一早设定自动更新 Windows ,你也许不必担心。

01 (7)

未收通知也可能中伏

中伏后 Windows 会弹出死亡红色窗口通知你,并要求支付 Bitcoin (现价约 300 美金)来解锁。若名未看到红色窗口不代表你未中伏。可能是未完成加密所有档案的加密,此时你可以按 Ctrl Atl Del 呼叫程序管理员,看看有否异常的程序一直占用 CPU 资源,而文件管理器中开始出现附名 .WCRY 的档案

00001

02

香港微软官方最新消息 (13/5 11:59pm)

Microsoft掌握到这个勒索软件 “WannaCrypt” 和网络攻击已经影响数个区域的不同行业。我们的安全团队已迅速采取行动来保护我们的客户,并已经增修最新侦测与防护功能以避免新的勒索软件威胁(例如: 知名病毒软件:Win32.WannaCrypt.) 。

 

今年3月份,我们已经发布了一个安全更新 (security updates),堵塞了这些攻击所利用的漏洞。启用Windows Update的用户可以防止对此漏洞的攻击。对于尚未应用安全更新的组织,我们建议您立即部署Microsoft安全公告MS17-010。对于已经安装我们免费提供的防毒软件,对该勒索软件应可以有效侦测并清除,我们强烈建议用户执行Windows Update 并持续更新,以降低被恶意攻击的风险。

 

对于使用Windows Defender的客户,我们今天稍早时间发布了一个检测到Ransom:Win32 / WannaCrypt的威胁的更新。作为额外的“深度防御”措施,请保持安装最新反恶意软件软件。目前Windows Defender已经可以针对发作中的恶意软件,有效的侦测并清除;用户可以从下列位置下载 Windows Defender: https://support.microsoft.com/zh-hk/help/14210/security-essentials-download

 

此外,我们正为所有客户提供额外安全更新,以保护适用于早期Windows 软件包括Windows Windows XP,Windows 8和Windows Server 2003的Windows平台。请使用以下连结下载安全更新: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

据我们了解,这个勒索软件攻击并没有针对Windows 10,只要有下载3月份安全更新已能够有效地防御这次攻击。我们藉此再次呼吁客户尽快升级Windows 10 ,并积极考虑落实部署Microsoft 企业级云端服务,以时刻确保保安措施是最新版本,为客户提供最强大的防御。企业用户可以随时联系Microsoft的客户经理查询。

 

客户如有任何查询,可致电Microsoft 香港客户服务中心电话:+852 2388 9600

 

 

未中伏前解决方案:

Step 0 :

甚么都不用说,先断网络进行备份!

星期一上班,我可以开计算机吗 ?

先切断网络,移除 lan 线 /关掉 wifi ,用你的方法停止计算机接上网络。开机后立即备份重要档案,紧记别备份在本机或网络磁盘上。

(免责声明 : 修改 Windows 有风险请先备份,如因以下方法导致任何损失,本网恕不负责)

 

Step 1: 锁埠

透过路由器 / 防火墙封锁 139 及 445 埠

 

A)路由器 :

01 (9)B) Windows 防火墙

 

如果你无法更改公司服务器设定可以设定 Windows 防火墙,安全的话可以考虑先移除 LAN 线 / 关闭 Wifi

01 (10)

Step 1:

按 WIN + R 键 ,键入 firewall.cpl 按 enter

01 (11)

Step 1:

如果你 Firewall 未开启,请按「请用建议的设定」去开启

01 (12)

Step 2:

如已开启了(绿色),请按左边进阶设定

01 (13)

Step 3:

左侧按 输入规则 > 右侧按 新增规则

01 (14)

Step 4 :

选择 通讯协议及端口,选 端口

01 (15)

Step 5 :

如下图选择 TCP , 特定本机端口选 445 ,139 ,下一步

01 (16)

Step 6:

选择封锁联机,下一步

01 (17)

Step 7:

套用所有规则,下一步

01 (18)

Step 8 :

随意命名,完成

01 (19)

Step 9

重复 Step 3 至 4 , 今次我们选择 UDP , 特定本机端口选 445 ,139 ,下一步。重复 Step 6 至 8

 

XP 用家可参考这个方法

改成阻檔 TCP 及 UDP 445 , 139

 

Step 2 :

你应该快安装修正档 !

 

 

Windows 10

去 Windows 更新便可

Windows 8.1 64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

 

Windows 8.1 32:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

 

Windows 7 64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu

 

Windows 7 32:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu

 

 

如以上方法失效,你可以..

手动停止 Windows  SMBv1 服务

如何你无法修改路由器设定,你可以通用系统管理员权限修改以下设定

 

Windows 7/Sever 2008 / Vista 用家:

 

Step 1

以系统管理员登入,执行regedit

01 (20)

Step 2

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

找空白处右键单击新增 DWORD key SMB1, 其数值为 0 (日后成功执行修正档的话,可把数值由 0 改回 1 )

01 (21)

Windows 8 或以上 :

 

Step 1

右按以管理员执行 CMD

01 (22)

Step 2

键入powershell (Enter)

set-ExecutionPolicy Unrestricted   (Enter)

set-SmbServerConfiguration -EnableSMB1Protocol $false (Enter)

看到提示后选 Y

 

成功后重新启动便成功

(日后成功执行修正档的话,照以上方法,最后一次由 $false 改为 $true )

01 (23)

 

为何我之前一直有更新,一样中伏 ?

因为数据显示此病毒有潜伏期,设定为 5  月 12 附近的日子爆发 ! 因此有可能在你计算机自动更新前已中招潜服在内,以下图片显示就算你计算机无连网络,潜伏于计算机内的病毒照样爆发。

002-125

中伏后解决方案 :

档案已被加密了怎算 ?

1) 修复档案

由于加密的过程是这样的 :

  1. 从原档产生新的加密档
  1. 把原档删除

理论上,我们可以利用平时「undelete」的软件把删除的档案救回来,只要那个区域未被新数据覆写上去就有机会救回。如发现你的硬盘已被感染,请即关机。把硬盘取出搬到「无毒」的计算机上进行修复,方法可以参考 <这里>的「救 DATA 篇」,不过有心理准备,只有部份档案可 100% 救回来。

00001

2) WNcry@2ol7 非解锁密码

Twitter 疯传 WNcry@2ol7 是解锁密码 ,但其实只是病毒一部份既解压码,用来解压自己其中的 module继续攻击,有部份防毒软件扫瞄不到有密码的 zip 文件,所以部份病毒会用法方法加密自己的文件。

01 (24)

3)付款不等于会收到解密

由于今次 BITCOIN 收款的地址是统一的,因此开发者无法证明支付者身份,任何人都可以冒认你跟病毒开发者说已付了帐,理论上会提供解密密码机会很低。话虽如此,Bitcoin 追踪数据显示直到现时为止已有 23 单个交易,开发者收取了4.26616859 BITCOIN (现价计算的话,总值 7,210 美元)

01 (25)

4)勿乱安装不明来历的破解工具

Wanna Decrytor 暂时未有任何通用解密方法,可是中国网上已有很多所谓的破解工具,但其实档案被加密后,那随机密码不可能用你自家计算机的运算力于短时间内破解,因此这类破解档很多时是木马程序,安装后找寻 PC 内银行或信用咭密码,让你受二次伤害