Your browser does not support JavaScript!
Google  

 

 

:::
[106/05/14] WannaCry勒索病毒猖獗! TWCERT/CC教你6步驟自保
資料來源:iThome
 
WannaCry勒索病毒從週五晚上開始襲擊全球!這是第一支結合蠕蟲擴散行為,會自動發起大規模感染行為的勒索軟體。截至週日晚上九點,根據intel.malwaretech.com網站統計,全球有23萬多臺電腦感染。國外資安公司也把臺灣視為重度感染區域。
 
不過,目前臺灣災情大多散見於網路社群或論壇如PTT等網友的求助,而企業感染情況,根據台灣電腦網路危機處理暨協調中心TWCERT/CC目前截至週日晚上的資料,還沒有企業正式回報,發生WannaCry勒索災情。
 
不過,TWCERT/CC主任廖志明警告,臺灣企業剛好週末假日,因此還沒有出現明顯災情。WanaCry事件發生後的第一個上班日,也就是星期一,恐怕才會有企業災情發生。因此,TWCERT/CC工程師也緊急測試目前各方提出的預防方法,整理了一個6步驟企業自保策略。
 
廖志明表示,因為這是一支會自動入侵其他區網電腦的勒索軟體,一旦企業內部網路,有了第一臺電腦受駭,其他位於同一區網,又沒有更新的舊版Windows電腦,一開機就會感染。所以,他反而建議,第一步要先拔掉網路線或關閉無線網路,先避免被感染,再展開自救。
 
另外,目前雖然傳出,國外資安專家無意間因為反組譯病毒程式碼,找到了一個控制WannaCry勒索病毒繼續擴大感染的機制,暫時平息了這一波的擴大感染。
 
但廖志明提醒,發動攻擊的駭客很容易就可以修改這個控制機制,釋出改版變種繼續發動攻擊,企業最好不要掉以輕心,趕快採取系統升級自我防護措施備份資料才是上上策。
 
TWCERT/CC【WannaCry勒索病毒自保6步驟】 :
 
1. 確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉Wifi分享器電源或拔除3/4G無線網卡) 。
 
2. 將電腦開機並長按F8 進到安全模式,或透過外接安全的系統進行開機。
(1) 將重要資料複製到外接式硬碟(備份完請記得將外接硬碟拔除!)。
(2) 若尚未安裝修補程式者,請依照作業系統版本安裝適合的修補程式,可連上網路下載修補程式(下載連結請參照第7點),或使用隨身碟把檔案移至電腦內。
(3) 斷網並重新開機進到一般模式後安裝修補檔。
 
3. 若電腦開機進入一般模式,出現疑似中勒索病毒現象(如桌面檔案出現異常無法打開),即刻拔除電源或關機(使用筆電者請亦將筆電電池移除),並確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉Wifi分享器電源或拔除3/4G無線網卡)。
後續處置作法:
(1) 未被加密的重要資料備份:使用安全模式開機或透過外接安全的系統進行開機,將還尚未被加密的重要資料複製到外接式硬碟(被加密的檔案目前還尚未有任何解密方法)。
(2) 系統恢復: 將受駭電腦硬碟格式化後重灌至最新版官方作業系統。
 
4.  若無中勒索病毒現象,即刻將重要資料備份,備份資料離線保管。
 若要確認是否有感染,可搜尋磁碟中是否有.wncry附檔名檔案,若有或疑似已中wanacrypt0r 2.0病毒,續照步驟3方式處理;若沒有則可能尚未中毒 。
 
5. 若電腦中原無安裝防毒軟體,可下載微軟官方所提供之防毒軟體Windows Defender,可針對系統中的惡意程式WannaCryptor提供偵測並清除。Windows Defender下載位置:
 
6. 隨時更新修補程式及防毒軟體至最新版本,使用防火牆並關閉不需要之通訊埠及應用程式權限,以確保電腦安全無虞,不要因為一時方便開啟不必要的服務,而導致系統出現漏洞。另對防火牆及IDS/IPS等設定部份,建議設定可阻擋WannaCry所使用MS17-010漏洞之特徵或規則。 
 
針對此次漏洞不同作業系統版本所發布之修補程式(點選超連結下載)。
Windows Server 2003 SP2 x64 : 
 
Windows Server 2003 SP2 x86 : 
 
Windows XP SP2 x64 : 
 
Windows XP SP3 x86 : 
 
Windows XP Embedded SP3 x86 : 
 
Windows 7 x64
 
Windows 7 x32
 
Windows 8 x86 : 
 
Windows 8 x64 : 
 
資通中心 敬上
瀏覽數