必看!關於受WannaCry病毒感染解決方案的 8 個實用問答
今天是 WannaCry(WanaCrypt0r 2.0,想哭2.0) 勒索病毒肆虐之後的第一個上班日,由於該病毒目前爲止並未有一個很明確的破解方案,針對坊間一些流傳的說法,許多中小企業的 IT 人員可能會接獲來自上級或員工不正確的指示,導致錯上加錯;爲此,《ETtoday東森新聞雲》在訪問一些相關 IT 產業技術人員後,並整理目前坊間多種流言,進一步以下 8 個建議,希望能有所幫助。
1.交贖金吧?!
如同前面多篇所說,WannaCry(WanaCrypt0r 2.0)勒索病毒大規模攻擊所使用的 Windows Server Message Block (SMB) 伺服器漏洞EternalBlue(亦被稱爲CVE-2017-0144和MS17-10)與新勒索病毒家族(RANSOM_WCRY.I / RANSOM_WCRY.A)的新變種,主要是在感染的系統當中,爲檔案加密,其最初的目的就是要系統用戶交付等同 300 元美元的比特弊贖金,若三天未交付贖金,將會加倍等同 600 美元的比特弊贖金,同時威脅七天內再不支付贖金,WannaCry 將會刪除解密金鑰。
那麼真的交付了比特幣就沒事了嗎?其實未必,以目前來說,檔案一旦被加密之後,是沒有方法能「100%」把所有檔案都搬回來。
2.更新微軟提供的檔案吧?!
從各方面來看,這個作法是目前來說最爲正確的。
但這是指還未受到感染的電腦或者想要重新安裝新系統的用戶所做的防範措施,不管是臺灣微軟所提出「MS17010」系統更新聲明,還是微軟公司還破例爲Windows Vista、XP、Windows 7、Windows 8 等舊系統提供的 KB4012598 更新檔爲資安防護升級等等...都是針對尚未感染病毒或者針對已經被勒索,但卻要完全放棄電腦裡面所有檔案的人所提供的防治方案,並非是勒索病毒的解決方案。
依照目前來看,雖然各界都已經在努力嘗試,但由於系統加密是覆蓋上了新的資料,除非駭客組織大發慈悲主動解密、或防駭相關組織破解 WannaCry ,否則只能說「幾乎不可能100%救回」。
不過,若是一些已經刪除或者是未被加密的檔案,目前坊間有一些解決方案,就是透過系統還原的方式,救回部分檔案。
目前可行的分別是透過類似《Digital Image Recovery》、《RECUVA》、《Disk Drill》等應用程式來救回部分照片,或是透過《ZAR X》應用程式來救回部分影片跟 RAW 檔案,不過被勒索病毒針對的副檔名共有 176 種,包括 Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名,而上述這些方式並不是 100% 適用於所有人的電腦,原因如上所說。
4.不要點選來路不明網站、或者從不明連結安裝來路不明檔案?!
這其實是資安防護的基本原則,也是所有人應該要嚴格遵從的基本常識。
此次 WannaCry 是 Shadow Brokers 駭客集團據稱從美國國家安全局(NSA)外泄的漏洞之一,攻擊該漏洞之後可以將檔案送入受害系統,再將此檔案作爲服務執行,接着再將真正的勒索病毒檔案送入受害系統,它會用.WNCRY副檔名來對檔案進行加密,也會送入另一個用來顯示勒索通知的檔案。
換句話說,只要整個系統網路有一臺電腦中了勒索病毒,那麼其他連上網路的電腦都有可能受到感染,這不管你有沒有點選來路不明的網站...
比較好的作法是,一大早先請 IT 人員先在同事未開電腦前,進入路由器封鎖 TCP UDP Port 139 及 445 、對外對內都要封,再關閉 uPnp,接着徹查整間公司、學校網路內的所有電腦運作是否正常,若發現有電腦受到感染,那麼就暫時避免所有電腦共用網路,同時爲所有尚未感染的電腦進行微軟資安防護系統升級。
許多有經驗的 IT 人員,通常會針對重要系統資料額外進行備份,這是相當正確的做法,不過必須要注意的一點是:如果把硬碟接上到連網電腦端,檔案都是有可能被加密的,不管你是外接硬碟、NAS、隨身碟、SD 記憶卡等等。
這並不是說都不能使用,而是如果真的要使用備份檔案,強烈建議用戶要先將電腦網路線拔掉、把 Wifi 關掉之後,再接上硬碟存取檔案之後,拔掉備份碟再上網,否則很有可能連備份硬碟都掛點,如果繼續複製,很可能連沒有感染的電腦都被感染,至於已經受到感染的電腦...就不必了...
6.快安裝防毒軟體救吧?!
這時候你只要笑就可以了...(因爲沒用,被破解的話,一定會有媒體相關報導,到時請關注《ETtoday東森新聞雲》)
7.快下載破解檔?!
目前國外已經出現有很多「聲稱」已經有破解方案,經過後續驗證,這些破解方案,多數只是搶救一些已經被刪除的資料,簡而言之,截至記者截稿之前,還未有破解檔,有的話也要當心,因爲很可能會是另外一種不知甚麼的病毒。
8.用未感染的電腦救救看?
網路上有個偏方,是把被加密的 D、E 槽整顆拔下來,然後拿到尚未感染的 Mac OS 電腦來「救」檔案,這個做法是相當危險的,因爲這樣不僅連 Mac OS電腦都有可能被感染,接上網路後,甚至有可能讓病毒產生新的變種。
※免責聲明:本篇文章是在實地訪問過專業人員後,提供的建議,或許並非 100% 正確,若在操作過程中出現任何損失,本站恕不負責。