轉知 TWCERT/CC整理勒索病毒WanaCry相關資訊

轉知台灣電腦網路危機處理暨協調中心 TWCERT/CC整理勒索病毒WanaCry相關資訊:
 
相信各位在整個周末都遭受到這一波 WanaCry勒索病毒的消息轟炸,而當明天前往辦公室上班時是不是也會擔心自己的電腦變成一顆未爆彈,一開機就有可能感染勒索病毒,但不開機也沒辦法把裡面的資料取出。
別慌張,在這邊提供明天進到辦公室後,該如何處理自己辦公桌上的這顆未爆彈的步驟建議:
(如何預防資料被加密,及若遭加密後應如何處理之簡易流程請參考下方之圖1及圖2)
1. 確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉Wifi分享器電源或拔除3/4G無線網卡) 。
2. 將電腦開機進到安全模式(大部份電腦在Windows畫面出現前長按F8即可進入安全模式選單),或透過外接安全的系統進行開機。
  • (1) 將重要資料複製到外接式硬碟(備份完請記得將外接硬碟拔除!)。
  • (2) 若尚未安裝修補程式者,請依照作業系統版本安裝適合的修補程式,可連上網路下載修補程式(下載連結請參照第7點),或使用隨身碟把檔案移至電腦內。
  • (3) 斷網並重新開機進到一般模式後安裝修補檔。
3. 若電腦開機進入一般模式,出現疑似中勒索病毒現象(如桌面檔案出現異常無法打開),即刻拔除電源或關機(使用筆電者請亦將筆電電池移除),並確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉Wifi分享器電源或拔除3/4G無線網卡)。後續處置作法:
  • (1) 未被加密的重要資料備份:使用安全模式開機或透過外接安全的系統進行開機,將還尚未被加密的重要資料複製到外接式硬碟(被加密的檔案目前還尚未有任何解密方法)。
  • (2) 系統恢復: 將受駭電腦硬碟格式化後重灌至最新版官方作業系統。
4. 若無中勒索病毒現象,即刻將重要資料備份,備份資料離線保管。 若要確認是否有感染,可搜尋磁碟中是否有.wncry附檔名檔案,若有或疑似已中wanacrypt0r 2.0病毒,續照步驟3方式處理;若沒有則可能尚未中毒 。
5. 若電腦中原無安裝防毒軟體,可下載微軟官方所提供之防毒軟體Windows Defender,可針對系統中的惡意程式WannaCryptor提供偵測並清除。Windows Defender下載位置: https://support.microsoft.com/zh-tw⋯⋯
6. 隨時更新修補程式及防毒軟體至最新版本,使用防火牆並關閉不需要之通訊埠及應用程式權限,以確保電腦安全無虞,不要因為一時方便開啟不必要的服務,而導致系統出現漏洞。另對防火牆及IDS/IPS等設定部份,建議設定可阻擋WannaCry所使用MS17-010漏洞之特徵或規則。
7. 針對此次漏洞不同作業系統版本所發布之修補程式(點選超連結下載)。
  • Windows Server 2003 SP2 x64 :
  • Windows Server 2003 SP2 x86 :
  • Windows XP SP2 x64 :
  • Windows XP SP3 x86 :
  • Windows XP Embedded SP3 x86 :
  • Windows 7 x64
  • Windows 7 x32
  • Windows 8 x86 :
  • Windows 8 x64 :
●微軟官方已在MS17-010 Security Update安全更新中,修補此漏洞 : https://technet.microsoft.com/en-us⋯⋯
8. 如何確認已安裝更新:
開機後點選 [控制臺/windows update/檢視更新紀錄]
以Windows 7,64位元版本為例,檢查是否有kb4019264,若有則表示更新完成,其他版本請參考以下清單:
●Windows Server 2003 SP2 x64 請查KB4012598
●Windows Server 2003 SP2 x86
請查KB4012598
●Windows XP SP2 x64
請查KB4012598
●Windows XP SP3 x86
請查KB4012598
●Windows XP Embedded SP3 x86
請查KB4012598
●Windows 7
請查KB4012215、KB4015549、KB4019264,這三個有一個就行
●Windows 8.1 請查KB4012216、KB4015550、KB4019215,這三個有一個就行
由於微軟自三月起陸續有公布安全更新,建議更新到上述五月份的最新安全更新即可。
如果您有疑問需要協助,歡迎洽詢TWCERT/CC 免付費專線:0800-885-066 電子郵件:twcert@cert.org.tw 資安事件通報 03-4115387或02-23776418 傳真 03-4713363
image
圖1、上班第一天要怎麼防止自己的資料被勒索病毒加密

image
圖2、電腦有中勒索病毒的跡象應該怎麼處理
(以上資料由TWCERT/CC整理)


gotop