WanaCrypt0r2.0勒索病毒防範作法

WanaCrypt0r勒索病毒簡介

WanaCrypt0r 2.0 又名WannaCry(中譯:想哭),特徵如下:
1. 透過微軟的MS17-010漏洞進行攻擊。
2. 攻擊程式會直接掃描IP並檢查Port 445是否有被開啟,並判斷對方系統是否存在SMB漏洞。
3. 受到感染電腦能夠再自動進行攻擊其它主機,使用手法是P2P的傳遞式攻擊,導致能夠在短時間內進行大量散播勒索病毒。
4. 受到感染電腦檔案的副檔名被更改為.wncry
5. 中毒提示視窗為紅色邊框,有多國語言版本可以選擇

※防範重點

1. 關閉Windows系統的445等危險通訊埠,關閉SMB機制,關閉網路共用資料夾。

2. 不要點擊來路不明的郵件附檔、網站和檔案等。

3. 儘速修補相關漏洞並開啟Windows Update的自動更新。

(詳請參照下列因應措施說明,Win7/Win10等使用者請參照懶人包)

※如有電腦中毒者,請先拔掉網路線,並洽資訊服務組分機5057或5058,將派專人協助處理!※

※Win7/Win8/Win10/Win2012/Win2008因應措施

步驟 Win7
Win2008
Win8
Win8.1
Win2012
Win10
Win2016

1. 作業系統檢查更新(必要)

[更新檔下載參照] [更新檔下載參照] [會自動更新]

2. 啟用微軟掃描程式(建議)

Security Essentials 下載 開啟內建的 Windows Defender 防護軟體 內建Windows Defender
參照操作說明

3. 設定防火牆,擋掉445 port攻擊(必要)

關閉445port(執行檔)
[本校電算中心自製]

4. 關閉SMB機制(必要)

關閉SMB1(for Win7)
[本校電算中心自製]
關閉SMB1執行檔(for Win8、Win10)
[本校電算中心自製]

5. 重開機後執行檢測是否做好防範措施(必要)

Windows環境檢測程式(Zip檔)
[參照下列說明][參考資料來源]
Win7懶人包(PDF) Win10懶人包(PDF)
※想要享受一步一腳印全手動設定成就感的,可以參考下列說明:
Win7全手動操作說明(PDF)      Win10全手動操作說明(PDF)

※環境檢測程式說明

[參考資料來源]

1. Windows10使用者不用理會

2. Win7/Win8/Win2012/Win2008/Win2003等使用者執行detect_doublepulsar_smb.exe後,看到以下三行字(紅框),才算做好預防措施:

3. WinXP等使用者需要進指令模式打指令執行:detect_doublepulsar_smb.exe --ip 127.0.0.1

4. 執行檢測訊息說明

訊息 說明
DOUBLEPULSAR SMB IMPLANT DETECTED!!! 被攻擊成功:(WanaCry進行加密中或潛伏期)
請快點拔掉網路線,並洽詢資訊服務組分機5057或5058
No presence of DOUBLEPULSAR SMB implant 尚未被攻擊,且SMBv1協定尚未關閉
This machine has already closed SMBv1 protocol SMBv1協定已關閉,也代表機器無漏洞

※WinXP因應措施

步驟1:更新檔KB4012598

步驟2:關閉445 port [操作說明]

步驟3:請關閉網路連線內容的 File and Printer Sharing for Microsoft Networks

1. 開始 >> 設定 >> 控制台 >> 網路連線

2. 選擇你的對外連線(例如區域連線這種名字)、按右鍵選內容

3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消

4. 重新開機

△WinXP使用者,自 2014 年 4 月 8 日起,微軟就不再提供Windows XP 和 Windows XP 模式的技術支援,建議還是更新作業系統到Win7或Win10,才是最佳策略!


※重要更新檔序號

系統 3月 4月 5月 5月13日
Windows XP KB4012598
[32位元載點(sp3以上)]
Windows Vista
Windows 2008 server
KB4012598
[32位元載點] [64位元載點]
Windows 7
(三個有一個就行)
KB4012215
[32位元載點] [64位元載點]
KB4015549
[32位元載點] [64位元載點]
KB4019264
[32位元載點] [64位元載點]
Windows 8 KB4012598
[32位元載點] [64位元載點]
Windows 8.1
(三個有一個就行)
KB4012216
[32位元載點] [64位元載點]
KB4015550
[32位元載點] [64位元載點]
KB4019215
[32位元載點] [64位元載點]
Windows 2003 server KB4012598
[32位元載點] [64位元載點]

※參考資料及相關新聞報導