昨天晚上開始到現在出現的『WanaCrypt0r 2.0』勒索病毒透過微軟Windows系統漏洞大舉入侵公司、家中電腦,簡單說只要你的電腦並沒有在定期更新的電腦原則打開電腦連上網路就有很大的機會被病毒透過系統漏洞植入病毒,導致您重要資料被病毒加密無法解開!
由於WanaCrypt0r 2.0勒索病毒是透過『EternalBlue』這個漏洞來主動入侵您的電腦也就是透過所謂的網路芳鄰來入侵您的電腦走 445 Port,其實這個編號為MS17-010漏洞已經在2017年3月透過系統更新的方式解決,但如果您的電腦沒更新的話這漏洞就是一直存在,因此這波勒索病毒之所以這麼快速蔓延也可以看出國人的電腦很多都沒做系統更新這件事情!
受影響的作業系統與檢測方式
這次主要受害的作業系統為:Windows Vista,7,8,8.1,10(1507,1511,1607), Server 2008, 2008 R2, 2012, 2012 R2, Windows RT
Windows 7 與8.1的使用者請檢查電腦是否有以下更新 3月安全性更新號碼
- Windows 7 : KB4012215
- Windows 8.1:KB4012216
4月安全性更新號碼
- Windows 7 : KB4015549
- Windows 8.1:KB4015550
5月安全性更新號碼
- Windows 7: KB4019264
- Windows 8.1:KB4019215
新的更新會包含之前月份的只要三個有其中一個安裝成功即可
可透過控制台>Windows Update>檢視更新紀錄可查詢電腦是否有安裝成功
Windows XP 處理方式
目前Windows XP微軟已經停止維護,因此只能透過手動關閉網路芳鄰的方式來避免電腦中毒!!!不過關閉之後電腦就無法分享檔案與抓取別人電腦分享出來的圖片與資料,這方法只是應急避免中毒,強烈建議先把網路斷開也就是把網路線拔掉,接著把重要資料備份完畢之後請『重灌』Windows 10會比較安全避免憾事發生
- 手動關閉教學:https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html
- 資料備份教學:http://mobileai.net/2017/02/06/freefilesync/
20:42 更新:微軟釋出Windows xp專用更新補丁
- Windows xp KB4012598補丁:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Windows 8 處理方式
目前沒有Windows 8 可用的系統補丁可手動關閉網路芳鄰來避免中毒,建議還是先把網路斷開也就是網路線拔掉,接著開始把重要資料備份到USB外接硬碟當中,接著直接重灌Windows 10比較省事
20:42 更新:微軟釋出Windows 8專用更新補丁
- Windows 8 KB4012598補丁:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Windows 7、8.1 處理方式
您的電腦先不要開機維持斷線狀態,先用手機下載以下對應的系統補丁並複製到隨身碟當中手動更新把漏洞補上,再開機進行更新,連上網路之前請再三確認您的系統已經安裝好補丁
- 檢查方式:可透過控制台>Windows Update>檢視更新紀錄可查詢電腦是否有安裝成功
Windows 7、8.1 MS17-010漏洞補丁下載:
Windows 7 KB4012215
- GD1:https://goo.gl/q6f1Tu
- GD2:https://goo.gl/eM58dG
- GD3:https://goo.gl/FcrqR5
- MG:https://goo.gl/t199Mc
Windows 8.1 KB4012216
Windows 10 處理方式
雖說目前Windows 10貌似沒有這個漏洞但也不代表會不會有變種病毒出現,建議Windows 10的使用者請先『斷網』進行資料備份,避免發生憾事無法挽回,接著系統更新到最新版本確保將已知的系統漏洞打上補丁避免招受病毒入侵
公司電腦該如何處理?
這次發作剛好在禮拜五晚上剛好六日都不用上班,因此第一波受害者大多都是一般使用者,不過真正的危機其實在禮拜一,因為公司電腦一旦有一台中毒就很有可能連帶讓檔案伺服器上的資料通通被加密,因此真正的考驗才即將到來,不過還好有個六日可以緩衝建議各位資訊人員可參考以下步驟來降低風險,至於使用者的話就請多擔待一下,禮拜一可能會影響到您的工作但總比資料全部被加密來的好吧!
- 建議先利用假日來進行File Server資料備份,備份完畢請將外接式硬碟移除避免遭受感染,如有磁帶機、光碟機等離線備份機制建議到公司加個班啟動一下或是遠單遙控加入排程,資料量不大的情況之下應該禮拜一都可以備份完畢,讓您多一份保障。
- 禮拜一請第一個進入公司,進入公司第一件事情請先把公司的ADSL與任何連外網路的設備關機,降低公司網電腦被勒索病毒入侵的機率,接著請把下載好的補丁複製到隨身碟當中或是光碟片裡面,一台一台的安裝更新來避免憾事發生。
- 請公司同仁請勿利用手機分享的網路上網,避免病毒透過手機的網路主動入侵公司電腦導致資料受損。
- 如公司電腦作業系統還停留在Windows XP的話!請關閉檔案分享功能先用隨身碟來當做內部資料交換的媒介,順便跟老闆與主管說明嚴重性,採購Windows 10作業系統來汰換Windows XP吧!
- 如公司xx軟體只能在Windows XP上運作,請將該台電腦獨立出來避免中毒之後影響到其他台電腦,也聯繫廠商是否有升級方案讓該軟體可以在Windows 10上運作。
- 如果您都跟公司討論主管還是不痛不養的話,請保留對話記錄或是Email來往,避免公司電腦真的被勒索病毒入侵成為替罪羔羊,畢竟身為資訊人員您已經提出以上的補救措施來避免憾事發生,只是主管的想法與眾不同而已,此時請學會自保剩下的就自由發揮囉….
那資料該如何備份?
一般使用者可利用這套『FreeFilesSync』檔案同步軟體來解決您資料備份的困擾!簡單實用又具備資料比對功能讓您資料備份起來可輕鬆許多,最後也請各位見諒畢竟這件事情的發生不是資訊人員的問題,非常時期也請大夥能夠多加體諒,如貴公司的資訊人員相當緊張與積極您應該感覺到慶幸才對不是嗎?在這也希望大家能夠平安度過這波勒索病毒的侵襲就是了,在此也再次重申資料備份的重要性,沒事多備份就對了。
參考資料:
- https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx#ID0EHB
- https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html
- https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html
