[防毒]WannaCry (想哭) 勒索病毒防範方式(已有解密工具) - 國立清華大學工程與系統科學系

[防毒]WannaCry (想哭) 勒索病毒防範方式(已有解密工具)


made by Kermit

觀念釐清

這次的勒索軟體「WannaCry (WanaCrypt0r 2.0)」是利用作業系統漏洞「主動」進行攻擊,只要電腦開著且連線到網路,尚未安裝修補檔把 EternalBlue 漏洞補起來的就有機會中獎,不是需要使用點選惡意連結或病毒檔案才中。

made by Kermit

防範步驟

01.檢查電腦是否已感染病毒:

  • 先拔除網路線再開機,以免萬一中毒後擴散(若原先使用WIFI無線上網,請先將分享器關閉)
  • 開機後按下「Ctrl + Alt + Del」鍵啟動 Windows工作管理員,Win7 以下版本選擇「處理程序」;Win8 以上版本選擇「詳細資料」,若看到 tasksche.exe 或 mssecsvc.exe 執行檔,表示可能已經感染病毒,此時請跳至Step 3 進行感染後的處置;若否,請繼續 Step 2 的預防處理措施

 

made by Kermit

02.病毒感染前預防處理措施:關閉 SMB 服務、關閉 445 連接埠、及下載修補檔

  • 下載網友提供的 強制關閉SMB服務 (點圖示即可,會被誤判為音樂檔)後執行匯入登錄

  • 下載批次檔 BLOCK.ZIP解壓縮後在批次檔按右鍵以系統管理員身分執行,執行完成即可關閉 445 連接埠(Win7以上版本適用)
  • 載 Windows 修補檔
    a.請按「Win+R」,輸入 msinfo32 後按 Enter

    b.在跳出的「系統資訊」視窗中,請注意
    「OS名稱」以及「系統類型」


    c.依據「OS名稱」以及「系統類型」下載對應的更新檔並安裝
  • 安裝更新檔時若出現『不適用』,需開啟Windows Update針對之前缺失的補丁先更新才能安裝
  • 後出的更新會包含前面的修正,以Winodws 7 為例,已經安裝5月份更新 (KB4019264),則無須再安裝3月份更新 (KB4012215)
  • 除了上方重要更新外建議使用者開啟Windows Update自動更新,以便日後提早預防

OS名稱\系統類型

x86

x64

Windows XP

KB4012598

KB4012598

Vista

KB4012598

KB4012598

Windows 7

KB4019264 

KB4019264 

Windows 8

KB4012598

KB4012598

Windows 8.1

KB4019215

KB4019215

made by Kermit

03.萬一感染病毒後的處置方式:

  • 立即關機(拔掉電源),因為病毒加密檔案需要時間,越早關機受害程度越輕
  • 看電腦中資料重要程度決定是要

a.放棄重灌--將硬碟格式化,重新安裝作業系統後將安全性更新至最新版,並檢視 Step 2 的預防處理措施是否落實
b.找外面公司資料救援--以SET復得科技為例

c.(2017/0
5/23新增)使用「終極解密工具:WanaKiwi」

https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm

  • 如硬碟尚未格式化清除資料,請勿自行將硬碟拿至別台電腦連接以防止病毒蔓延至其他電腦

made by Kermit

資料來源: