擔心週一上班如何面對WannaCry加密勒索病毒?建議參考在這裡
自上週五(5/12)開始,許多企業與使用者都關注到WannaCry 2.0勒索病毒的新聞,也擔心週一上班到底要如何應對,目前TWCERT/CC、趨勢科技與微軟都有提供一些作法供參考,只是有哪些重點值得注意呢?
據了解此勒索軟體是直接透過系統漏洞,針對SMB TCP-445 Port進行攻擊,除Windows 10及Server 2016之外,舊版WIindows系統受此威脅影響極大,由於攻擊方式更直接並能橫向擴散感染,資安專家均呼籲用戶盡快安裝官方釋出的安全性更新,避免機構及個人電腦受感染。而受到WannyCry病毒的電腦,檔案會被加密為 .WNCRY檔案格式,當檔案加密完成後,將會彈出紅色視窗要求支付贖金。
確認備份
●關閉網路:開機前,使用者先關閉網路連線,不論是有線、無線網路都要檢查清楚,由於不清楚電腦是否可能在開機後受害,因此最好在離線狀態確認檔案是否已經備份,仍是較為安心的動作。
●進安全模式:開機時,按下電源鍵後長按F8 進到安全模式,或透過外接安全的系統進行開機,將重要資料複製到外接式硬碟。
建議防護作法
●建議1:關閉445等通訊埠
建議先關閉Windows系統的445等通訊埠,做應急處理,同時也建議建議關閉網路共用資料夾。
但許多使用者可能會問,到底445埠如何關閉?
以Windows 7系統為例,方式如下
【開啟Windows控制臺,透過右上方搜尋找到Windows防火牆,並進入Windows防火牆設定介面】
【在Windows防火牆項目中,點選左方「進階設定」】
【開啟進階設定介面後,於「輸入規則」點選右鍵選擇「新增規則(N)」】
【在新增輸入規則精靈介面中,選擇建立「連接埠(O)」的規則】
【接下來,輸入要關閉的埠445】
【然後,請選擇封鎖連線】
【請按下一步】
【最後替規則取名即完成社瞪,可輸入與事件或規則內容有關內容。
●建議2:修補漏洞
建議即刻修補相關漏洞,確保企業內所有Windows機器上安裝MS7-010安全更新。
由於這次是利用Windows系統SMB漏洞進行攻擊,所以安裝作業系統本身的漏洞修補更新是最佳方式,其實,微軟已經在今年3月發布資訊安全公告MS17-010,同時已經針對EternalBlue的攻擊發布安全更新,防堵這些攻擊所利用的漏洞,所以大多有自動更新的Windows 10用戶不受影響,但若Windows 10使用者先前曾經以手動方式或透過工具,關閉Windows 10 自動更新功能,則同樣也要小心。
Microsoft資訊安全公告MS17-010:
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx。在自我檢測方式上,同樣請先在關閉網路連線(拔掉網路線、關掉無線網路)的狀態下,打開控制臺,點選Windows Update,以檢視更新記錄,對照上述網址中的作業系統版本,並確認是否已完成安全性更新
如已有符合更新,可接上網路線正常使用,如果沒有上述更新則請單位資訊人員協助。
由於此次事件影響層面之廣,若你還在用舊版Windows,微軟也已經緊急提供防止WanaCry入侵的漏洞修補程式,釋出最新的系統更新檔KB4012598,連Windows XP都破例更新。相關資訊:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
這邊並有各作業系統更新程式下載連結
請隨時更新修補程式及防毒軟體至最新版本,使用防火牆並關閉不需要之通訊埠及應用程式權限,以確保電腦安全無虞,不要因為一時方便開啟不必要的服務,而導致系統出現漏洞。另對防火牆及IDS/IPS等設定部份,建議設定可阻擋WannaCry所使用MS17-010漏洞之特徵或規則。
目前微軟也已經在部落格上釋出修補程式資訊:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-fo...
這裡的連結都是經由微軟官方載點,使用者應小心注意不要從第三方載點下載,減少再次中毒機會。
更多提醒
趨勢科技也提醒用戶,在上述方法之外,還有幾項建議同樣可以參考
●不要點擊來路不明的網站和檔案等,小心勒索軟體還會以其他管道入侵。
●如果用戶電腦已遭到WannaCryptor攻擊,請勿支付贖金,駭客可能因此知道你有能力支付贖金後,未來有很大機會再度攻擊。
●開啟電腦作業系統的Windows Update,隨時升級系統與修補漏洞,做好基本系統維護。
相關報導:
躲過WannaCry勒索蠕蟲風暴?週一上班先不要開電腦,照著這些方法做
【MIS必看】WannaCry勒索病毒猖獗!TWCERT/CC教你6步驟自保