(WanaCrypt0r 2.0)电脑勒索病毒感染解决方案的8个建议
据ETtoday(洪圣壹):今天是 WannaCry(WanaCrypt0r 2.0,想哭2.0) 勒索病毒肆虐之后的第一个上班日,由于该病毒目前为止并未有一个很明确的破解方案,针对坊间一些流传的说法,许多中小企业的 IT 人员可能会接获来自上级或员工不正确的指示,导致错上加错;为此,在访问一些相关 IT 产业技术人员后,并整理目前坊间多种流言,进一步以下8个建议,希望能有所帮助。
1.交赎金吧?!
如同前面多篇所说,WannaCry(WanaCrypt0r 2.0)勒索病毒大规模攻击所使用的 Windows Server Message Block (SMB) 伺服器漏洞EternalBlue(亦被称为CVE-2017-0144和MS17-10)与新勒索病毒家族(RANSOM_WCRY.I / RANSOM_WCRY.A)的新变种,主要是在感染的系统当中,为档案加密,其最初的目的就是要系统用户交付等同 300 元美元的比特弊赎金,若三天未交付赎金,将会加倍等同 600 美元的比特弊赎金,同时威胁七天内再不支付赎金,WannaCry 将会删除解密金钥。
那么真的交付了比特币就没事了吗?其实未必,以目前来说,档案一旦被加密之后,是没有方法能「100%」把所有档案都搬回来。
2.更新微软提供的档案吧?!
从各方面来看,这个作法是目前来说最为正确的。
但这是指还未受到感染的电脑或者想要重新安装新系统的用户所做的防范措施,不管是台湾微软所提出「MS17010」系统更新声明,还是微软公司还破例为Windows Vista、XP、Windows 7、Windows 8 等旧系统提供的KB4012598 更新档为资安防护升级等等...都是针对尚未感染病毒或者针对已经被勒索,但却要完全放弃电脑里面所有档案的人所提供的防治方案,并非是勒索病毒的解决方案。
3.赶快给我把报告/公司资料/客户资料救回来?!
依照目前来看,虽然各界都已经在努力尝试,但由于系统加密是覆盖上了新的资料,除非骇客组织大发慈悲主动解密、或防骇相关组织破解 WannaCry ,否则只能说「几乎不可能100%救回」。
不过,若是一些已经删除或者是未被加密的档案,目前坊间有一些解决方案,就是透过系统还原的方式,救回部分档案。
目前可行的分别是透过类似《Digital Image Recovery》、《RECUVA》、《Disk Drill》等应用程式来救回部分照片,或是透过《ZAR X》应用程式来救回部分影片跟 RAW 档案,不过被勒索病毒针对的副档名共有 176 种,包括 Microsoft Office、资料库、压缩档、多媒体档案和各种程式语言常用的副档名,而上述这些方式并不是 100% 适用于所有人的电脑,原因如上所说。
4.不要点选来路不明网站、或者从不明连结安装来路不明档案?!
这其实是资安防护的基本原则,也是所有人应该要严格遵从的基本常识。
此次 WannaCry是Shadow Brokers 骇客集团据称从美国国家安全局(NSA)外泄的漏洞之一,攻击该漏洞之后可以将档案送入受害系统,再将此档案作为服务执行,接着再将真正的勒索病毒档案送入受害系统,它会用.WNCRY副档名来对档案进行加密,也会送入另一个用来显示勒索通知的档案。
换句话说,只要整个系统网路有一台电脑中了勒索病毒,那么其他连上网路的电脑都有可能受到感染,这不管你有没有点选来路不明的网站...
比较好的作法是,一大早先请 IT 人员先在同事未开电脑前,进入路由器封锁 TCP UDP Port 139 及 445 、对外对内都要封,再关闭 uPnp,接着彻查整间公司、学校网路内的所有电脑运作是否正常,若发现有电脑受到感染,那么就暂时避免所有电脑共用网路,同时为所有尚未感染的电脑进行微软资安防护系统升级。
5.快把备份硬碟接上来用?!
许多有经验的 IT 人员,通常会针对重要系统资料额外进行备份,这是相当正确的做法,不过必须要注意的一点是:如果把硬碟接上到连网电脑端,档案都是有可能被加密的,不管你是外接硬碟、NAS、随身碟、SD 记忆卡等等。
这并不是说都不能使用,而是如果真的要使用备份档案,强烈建议用户要先将电脑网路线拔掉、把 Wifi 关掉之后,再接上硬碟存取档案之后,拔掉备份碟再上网,否则很有可能连备份硬碟都挂点,如果继续复制,很可能连没有感染的电脑都被感染,至于已经受到感染的电脑...就不必了...
6.快安装防毒软体救吧?!
这时候你只要笑就可以了...(因为没用,被破解的话,一定会有媒体相关报导。)
7.快下载破解档?!
目前国外已经出现有很多「声称」已经有破解方案,经过后续验证,这些破解方案,多数只是抢救一些已经被删除的资料,简而言之,截至记者截稿之前,还未有破解档,有的话也要当心,因为很可能会是另外一种不知甚么的病毒。
8.用未感染的电脑救救看?
网路上有个偏方,是把被加密的 D、E 槽整颗拔下来,然后拿到尚未感染的 Mac OS 电脑来「救」档案,这个做法是相当危险的,因为这样不仅连 Mac OS电脑都有可能被感染,接上网路后,甚至有可能让病毒产生新的变种。
免责声明:本篇文章是在实地访问过专业人员后,提供的建议,或许并非 100% 正确,若在操作过程中出现任何损失,本站恕不负责。
相关报道:台湾网友中勒索病毒跟对方杀价成功
据ETtoday:近日名为「WanaCrypt0r 2.0」的勒索病毒席卷全球,台湾也成全球第2大重灾区。一名网友5日在「mobile01」表示,自己中了勒索病毒,但是因为对方要求的金额太高,于是便写信给病毒集团要求降价,没想到最后竟然杀价成功,条件是要帮对方在网路上发表文章,证明骇客「有诚信」。
该名网友表示,3日发现电脑中文件打不开,送维修后才发现中了勒索病毒,对方要求0.345比特币(约1.9万元台币)赎金,由于金额太高,4日凌晨写信给对方要求降价,对方竟然也答应降至0.145比特币(约8千元台币),最后他跟对方谈条件,若降到0.02比特币(约1千1百元台币),便在台湾网站上将经验写出,证实「对方没有违反承诺,付款后是真的可能解决的」。
许多网友看完文章之后,纷纷留言表示,「楼主有求于对方,所以态度放得比较软吧」、「非常的受用,对于许多受害者无非是一个非常好的参考经验」、「看到这么详细的过程跟解说,给楼主一个赞」、「真心希望楼主学到教训务必定期备份」。
但也有网友质疑,「内文『我将发文到台湾网站讨论区证明付款后是可能成功解决的』,有助长歪风的嫌疑,难道是鼓励中镖的人,乖乖商讨付钱赎档案」、「不管楼主立意如何,文内看来已经有「鼓励」受害者付费去解密档案的感觉,连我都感觉搞勒索病毒真的很好赚了」、「勒索业者=诈骗集团,不要说大家都是做信用的」。
这些「中标」的电脑中,档案会全部遭到加密,接着会跳出红色视窗要求使用者在3天内用比特币(Bitcoin)支付300美元(约9000元新台币)的赎金,否则赎金的价码会不断加倍,最后导致档案难以恢复,许多人由于档案重要,便会支付赎金,试图将档案救回。
美国《消费者报告》网站也提供5招降低中标的招式提供使用者作参考:
一、 不要随意点击电子邮件中的连结,而是在浏览器输入网址。
二、 不要打开附件,除非你确认内容安全,也知道内容为何。
三、 不要访问可疑的网站,例如盗版下载网、色情网站,这些网站很容易受攻击。
四、 不要随意下载软体。
五、 要定期将重要的档案和资料备份,就算中标,损失也不至于太大。
(奇趣网 www.QiQu.net 收集发布)