[防毒]WannaCry (想哭) 勒索病毒防範方式(已有解密工具)

made by Kermit

觀念釐清

這次的勒索軟體「WannaCry (WanaCrypt0r 2.0)」是利用作業系統漏洞「主動」進行攻擊，只要電腦開著且連線到網路，尚未安裝修補檔把 EternalBlue 漏洞補起來的就有機會中獎，不是需要使用點選惡意連結或病毒檔案才中。

made by Kermit

防範步驟

01.檢查電腦是否已感染病毒：

先拔除網路線再開機，以免萬一中毒後擴散(若原先使用WIFI無線上網，請先將分享器關閉)

開機後按下「Ctrl + Alt + Del」鍵啟動 Windows工作管理員，Win7 以下版本選擇「處理程序」；Win8 以上版本選擇「詳細資料」，若看到 tasksche.exe 或 mssecsvc.exe 執行檔，表示可能已經感染病毒，此時請跳至Step 3 進行感染後的處置；若否，請繼續 Step 2 的預防處理措施

made by Kermit

02.病毒感染前預防處理措施：關閉 SMB 服務、關閉 445 連接埠、及下載修補檔

下載網友提供的 強制關閉SMB服務 (點圖示即可，會被誤判為音樂檔)後執行匯入登錄

下載批次檔 BLOCK.ZIP，解壓縮後在批次檔按右鍵以系統管理員身分執行，執行完成即可關閉 445 連接埠(Win7以上版本適用)

下載 Windows 修補檔

a.請按「Win+R」，輸入 msinfo32 後按 Enter

b.在跳出的「系統資訊」視窗中，請注意「OS名稱」以及「系統類型」

c.依據「OS名稱」以及「系統類型」下載對應的更新檔並安裝

安裝更新檔時若出現『不適用』，需開啟Windows Update針對之前缺失的補丁先更新才能安裝

後出的更新會包含前面的修正，以Winodws 7 為例，已經安裝5月份更新 (KB4019264)，則無須再安裝3月份更新 (KB4012215)

除了上方重要更新外建議使用者開啟Windows Update自動更新，以便日後提早預防

OS名稱\系統類型

x86

x64

Windows XP

KB4012598

KB4012598

Vista

KB4012598

KB4012598

Windows 7

KB4019264

KB4019264

Windows 8

KB4012598

KB4012598

Windows 8.1

KB4019215

KB4019215

made by Kermit

03.萬一感染病毒後的處置方式：

立即關機(拔掉電源)，因為病毒加密檔案需要時間，越早關機受害程度越輕

看電腦中資料重要程度決定是要

a.放棄重灌--將硬碟格式化，重新安裝作業系統後將安全性更新至最新版，並檢視 Step 2 的預防處理措施是否落實

b.找外面公司資料救援--以SET復得科技為例

c.(2017/05/23新增)使用「終極解密工具：WanaKiwi」

https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm

如硬碟尚未格式化清除資料，請勿自行將硬碟拿至別台電腦連接以防止病毒蔓延至其他電腦

made by Kermit

資料來源：

國立中山大學圖書與資訊處--勒索軟體病毒(WannaCrypt0r 2.0)防範通知(106/5/15 V1.6)

GDaily -- 勒索軟體預防，微軟官方更新檔下載，KB4012598 / KB4012215 / KB4012216

PTT Antivirus 版