made by Kermit
觀念釐清
這次的勒索軟體「WannaCry (WanaCrypt0r 2.0)」是利用作業系統漏洞「主動」進行攻擊,只要電腦開著且連線到網路,尚未安裝修補檔把 EternalBlue 漏洞補起來的就有機會中獎,不是需要使用點選惡意連結或病毒檔案才中。
made by Kermit
防範步驟
01.檢查電腦是否已感染病毒:
先拔除網路線再開機,以免萬一中毒後擴散(若原先使用WIFI無線上網,請先將分享器關閉)
開機後按下「Ctrl + Alt + Del」鍵啟動 Windows工作管理員,Win7 以下版本選擇「處理程序」;Win8 以上版本選擇「詳細資料」,若看到 tasksche.exe 或 mssecsvc.exe 執行檔,表示可能已經感染病毒,此時請跳至Step 3 進行感染後的處置;若否,請繼續 Step 2 的預防處理措施
made by Kermit
02.病毒感染前預防處理措施:關閉 SMB 服務、關閉 445 連接埠、及下載修補檔
下載網友提供的 強制關閉SMB服務 (點圖示即可,會被誤判為音樂檔)後執行匯入登錄
下載批次檔 BLOCK.ZIP,解壓縮後在批次檔按右鍵以系統管理員身分執行,執行完成即可關閉 445 連接埠(Win7以上版本適用)
下載 Windows 修補檔
a.請按「Win+R」,輸入 msinfo32 後按 Enter
b.在跳出的「系統資訊」視窗中,請注意「OS名稱」以及「系統類型」
c.依據「OS名稱」以及「系統類型」下載對應的更新檔並安裝
安裝更新檔時若出現『不適用』,需開啟Windows Update針對之前缺失的補丁先更新才能安裝
後出的更新會包含前面的修正,以Winodws 7 為例,已經安裝5月份更新 (KB4019264),則無須再安裝3月份更新 (KB4012215)
除了上方重要更新外建議使用者開啟Windows Update自動更新,以便日後提早預防
OS名稱\系統類型
x86
x64
Windows XP
KB4012598
KB4012598
Vista
KB4012598
KB4012598
Windows 7
KB4019264
KB4019264
Windows 8
KB4012598
KB4012598
Windows 8.1
KB4019215
KB4019215
made by Kermit
03.萬一感染病毒後的處置方式:
立即關機(拔掉電源),因為病毒加密檔案需要時間,越早關機受害程度越輕
看電腦中資料重要程度決定是要
a.放棄重灌--將硬碟格式化,重新安裝作業系統後將安全性更新至最新版,並檢視 Step 2 的預防處理措施是否落實
b.找外面公司資料救援--以SET復得科技為例
c.(2017/05/23新增)使用「終極解密工具:WanaKiwi」
https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm
如硬碟尚未格式化清除資料,請勿自行將硬碟拿至別台電腦連接以防止病毒蔓延至其他電腦
made by Kermit
資料來源:
國立中山大學圖書與資訊處--勒索軟體病毒(WannaCrypt0r 2.0)防範通知(106/5/15 V1.6)
GDaily -- 勒索軟體預防,微軟官方更新檔下載,KB4012598 / KB4012215 / KB4012216
PTT Antivirus 版