原标题:【MIS必看】WanaCry勒索病毒猖獗!上班第一天如何处理病毒未爆弹?TWCERT/CC教你6步骤自保
从週五晚上WanaCry勒索病毒袭击全球,这是第一支结合蠕虫扩散行为,会自动发起大规模感染行为的勒索软体。截至週日晚上九点,根据intel.malwaretech.com网站统计,全球有23万多台电脑感染。国外资安公司也把台湾视为重度感染区域。不过,目前台湾灾情大多散见于网路社群或论坛如PTT等网友的求助,而企业感染情况,根据台湾电脑网路危机处理暨协调中心TWCERT/CC目前截至週日晚上的资料,还没有企业正式回报,发生WanaCry勒索灾情。不过,TWCERT/CC主任廖志明警告,台湾企业刚好週末假日,因此还没有出现明显灾情。WanaCry事件发生后的第一个上班日,也就是星期一,恐怕才会有企业灾情发生。因此,TWCERT/CC工程师也紧急测试目前各方提出的预防方法,整理了一个6步骤企业自保策略。廖志明表示,因为这是一支会自动入侵其他区网电脑的勒索软体,一旦企业内部网路,有了第一台电脑受骇,其他位于同一区网,又没有更新的旧版Windows电脑,一开机就会感染。所以,他反而建议,第一步要先拔掉网路线或关闭无线网路,先避免被感染,再展开自救。另外,目前虽然传出,国外资安专家无意间因为反组译病毒程式码,找到了一个控制WanaCry勒索病毒继续扩大感染的机制,暂时平息了这一波的扩大感染。但廖志明提醒,发动攻击的骇客很容易就可以修改这个控制机制,释出改版变种继续发动攻击,企业最好不要掉以轻心,赶快採取系统升级、自我防护措施和备份资料才是上上策。
WanaCry勒索病毒自保6步骤完整内容转载如下:
相信各位在整个周末都遭受到这一波 WanaCry勒索病毒的消息轰炸,而当明天前往办公室上班时是不是也会担心自己的电脑变成一颗未爆弹,一开机就有可能感染勒索病毒,但不开机也没办法把里面的资料取出。别慌张,在这边提供明天进到办公室后,该如何处理自己办公桌上的这颗未爆弹的步骤建议:(如何预防资料被加密,及若遭加密后应如何处理之简易流程请参考下方之图1及图2)
步骤1:确认电脑无法连上网路。使用有线网路者拔除网路线,使用无线网路者亦须确保无法连上网路(例如关闭Wifi分享器电源或拔除3/4G无线网卡) 。步骤2:将电脑开机并长按F8 进到安全模式,或透过外接安全的系统进行开机。(1)?? ?将重要资料複製到外接式硬碟。(2)?? ?若尚未安装修补程式者,请依照作业系统版本安装适合的修补程式,可连上网路下载修补程式(下载连结请参照第7点),或使用随身碟把档案移至电脑内后安装。(3)?? ?重新开机并进到一般模式。
步骤3:若电脑开机进入一般模式,出现疑似中勒索病毒现象(如桌面档案出现异常无法打开),即刻拔除电源或关机(使用笔电者请亦将笔电电池移除),并确认电脑无法连上网路,使用有线网路者拔除网路线,使用无线网路者亦须确保无法连上网路(例如关闭Wifi分享器电源或拔除3/4G无线网卡)。后续处置作法:(1)?? ?未被加密的重要资料备份:使用安全模式开机或透过外接安全的系统进行开机,将还尚未被加密的重要资料複製到外接式硬碟(被加密的档案目前还尚未有任何解密方法)。(2)?? ?系统恢复: 将受骇电脑硬碟格式化后重灌至最新版官方作业系统。
步骤4: 若无中勒索病毒现象,即刻将重要资料备份,备份资料离线保管。若要确认是否有感染,可搜寻磁碟中是否有.wncry附档名档案,若有或疑似已中wanacrypt0r 2.0病毒,续照步骤3方式处理;若没有则可能尚未中毒 。
步骤5. 若电脑中原无安装防毒软体,可下载微软官方所提供之防毒软体Windows Defender,可针对系统中的恶意程式WannaCryptor提供侦测并清除。
Windows Defender下载位置https://support.microsoft.com/zh-tw/help/14210/security-essentials-download
步骤6:随时更新修补程式及防毒软体至最新版本,使用防火墙并关闭不需要之通讯埠及应用程式权限,以确保电脑安全无虞,不要因为一时方便开启不必要的服务,而导致系统出现漏洞。另对防火墙及IDS/IPS等设定部份,建议设定可阻挡WannaCry所使用MS17-010漏洞之特徵或规则。?针对此次漏洞不同作业系统版本所发布之修补程式(点选超连结下载)。
Windows Server 2003 SP2 x64?Windows Server 2003 SP2 x86?Windows XP SP2 x64?Windows XP SP3 x86?Windows XP Embedded SP3 x86?Windows 7 x64Windows 7 x32Windows 8 x86?Windows 8 x64?资料来源:台湾电脑网路危机处理暨协调中心 - TWCERT/CC,原始来源
相关:
中了勒索病毒能恢复文件和解密吗?哪些系统受影响Windows [生活]
5月12日,Wannacry永恒之蓝勒索蠕虫病毒爆发,国内高校成为重灾区,360安全监测与响应中心对此事的风险评级为危急。360卫士安全反病毒小组工程师王亮告诉北京时间此刻(微信号:btimenow)勒索木马来源于美国NAS机构
勒索病毒肆虐中国多所高校:开机先拔网线再关闭455等端口 [生活]
全球多个国家正在遭受一次勒索软件病毒攻击,中国多所高校相继沦陷,不少校园网用户电脑中的文件被加密锁住,支付黑客所要求赎金后方能解密恢复。目前,已有多所已经或尚未遭受病毒攻击的高校向校园网用户发出预警,
人民网北京5月13日电据国家互联网应急中心网站消息,5月12日,互联网上出现针对Windows操作系统的勒索软件(Wannacry)攻击案例。勒索软件利用此前披露的WindowsSMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,
(原标题:北京三部门:WannaCry勒索蠕虫出现变种建议立即关注处置)新京报快讯今日(5月14日),北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》
(原标题:海南省网安部门:勒索病毒爆发,各单位周一先拔网线再开电脑)请注意!请注意!请注意!近日WannaCry勒索病毒爆发,为了避免周一上班后刚开机就被感染病毒,导致硬盘所有文件被恶意加密,请在开机前先断网