趨勢觀察 Trend Observation
本週我最紅:WannaCry勒索病毒【防範&中標應變方法!】
作為沒有電腦就直接殘廢的一間台中網頁設計公司,週五傳出的WannaCry/Wanna Decrypt勒索病毒災情,也把我們嚇個半死。從上週末開始,亞洲和歐洲地區就大量傳出許多電腦被病毒綁架,硬碟資料被加密,要求付出贖金才能解鎖,而且時間拖越久,對方要求的贖金越高。如果你恰好是用Win7的電腦在讀這篇,恭喜施主還沒陷入勒索病毒危機,但你也是高危險群!快點先看如何防範吧!
【Wannacry勒索病毒防範方法】整理好了在這裡
TWCERT/CC(台灣電腦網路危機處理暨協調中心)提供勒索病毒防範步驟:
1. 確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉Wifi分享器電源或拔除3/4G無線網卡) 。
2. 將電腦開機並長按F8 進到安全模式,或透過外接安全的系統進行開機。
(1) 將重要資料複製到外接式硬碟(備份完請記得將外接硬碟拔除!)。
(2) 若尚未安裝修補程式者,請依照作業系統版本安裝適合的修補程式,可連上網路下載修補程式(下載連結請參照第7點),或使用隨身碟把檔案移至電腦內。
(3) 斷網並重新開機進到一般模式後安裝修補檔。
3. 若電腦開機進入一般模式,出現疑似中勒索病毒現象(如桌面檔案出現異常無法打開),即刻拔除電源或關機(使用筆電者請亦將筆電電池移除),並確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉Wifi分享器電源或拔除3/4G無線網卡)。
後續處置作法:
(1) 未被加密的重要資料備份:使用安全模式開機或透過外接安全的系統進行開機,將還尚未被加密的重要資料複製到外接式硬碟(被加密的檔案目前還尚未有任何解密方法)。
(2) 系統恢復: 將受駭電腦硬碟格式化後重灌至最新版官方作業系統。
4. 若無中勒索病毒現象,即刻將重要資料備份,備份資料離線保管。 若要確認是否有感染,可搜尋磁碟中是否有.wncry附檔名檔案,若有或疑似已中wanacrypt0r 2.0病毒,續照步驟3方式處理;若沒有則可能尚未中毒 。
5. 若電腦中原無安裝防毒軟體,可下載微軟官方所提供之防毒軟體Windows Defender,可針對系統中的惡意程式WannaCryptor提供偵測並清除。Windows Defender下載位置: https://support.microsoft.com/zh-tw/help/14210/security-essentials-download
6. 隨時更新修補程式及防毒軟體至最新版本,使用防火牆並關閉不需要之通訊埠及應用程式權限,以確保電腦安全無虞,不要因為一時方便開啟不必要的服務,而導致系統出現漏洞。另對防火牆及IDS/IPS等設定部份,建議設定可阻擋WannaCry所使用MS17-010漏洞之特徵或規則。
(資料來源:TWCERT/CC)
趨勢科技提供企業防範勒索病毒方法:
趨勢科技建議企業員工應立即執行以下操作,並且準備隨身碟、外接硬碟或雲端空間,來備份電腦內重要資料。
步驟1:關閉Windows系統的445等危險通訊埠,關閉網路共用資料夾。
(如何關閉445通訊埠 )
步驟2:不要點擊來路不明的網站和檔案等。
步驟3:修補相關漏洞。目前,微軟已公布EternalBlue漏洞的修補擋,請Windows用戶立即下載安裝。另外,Windows XP、Windows 8等系統用戶,請點擊下載安裝修補程式。
步驟4:如果用戶電腦已遭到WannaCryptor攻擊,請勿支付贖金。因為駭客可能知道你有能力支付贖金,未來很大機會再度攻擊。
步驟5:開啟電腦作業系統的Windows Update,隨時升級系統與修補漏洞。
中了勒索病毒,怎麼辦!
不要怕,因為你不是孤單的(cue勵志的日劇配樂)。
中了勒索病毒應對方式:
Step 1.斷開網路!強制關機!尤其是企業或組織的電腦,斷網和關機是為了防止災情擴大
Step 2.不要輕易付錢,反正也付不起而且不可以讓勒索病毒得逞
Step 3.嘗試防毒軟體的解密工具
Step 4.如果無效,建議先把硬碟保存下來,目前網路上還是有各種解密的方法傳出,也許很快就可以復原了。
另外,也有人分享直接寫信給WannaCry求情,對,雖然美國影集看多了會知道不要跟恐怖份子談判,但有人似乎真的直接寫email去哭窮,而且成功解鎖,雖然不知道消息的真實性。
雖然不斷有人找到新的方法防止WannaCry蔓延,但WannaCry持續變種的消息也一直傳出,目前已經有WannaCry2.0版本,總之,要記得透過官方路徑升級作業系統、瀏覽器,平時不要任意點不明的廣告或連結,安裝防毒軟體,常備份資料,盡量讓自己不要成為勒索病毒的受害者!