原标题:WannaCry企业自救术
图片来源:iThome
自上週五(5/12)开始,许多企业与使用者都关注到WannaCry 2.0勒索病毒的新闻,也担心週一上班到底要如何应对,目前TWCERT/CC、趋势科技与微软都有提供一些作法供参考,只是有哪些重点值得注意呢?
据了解此勒索软体是直接透过系统漏洞,针对SMB TCP-445 Port进行攻击,除Windows 10及Server 2016之外,旧版WIindows系统受此威胁影响极大,由于攻击方式更直接并能横向扩散感染,资安专家均呼吁用户尽快安装官方释出的安全性更新,避免机构及个人电脑受感染。而受到WannyCry病毒的电脑,档案会被加密为 .WNCRY档案格式,当档案加密完成后,将会弹出红色视窗要求支付赎金。
确认备份
●关闭连线:开机前,使用者先关闭网路连线,不论是有线、无线网路都要检查清楚,由于不清楚电脑是否可能在开机后受害,因此最好在离线状态确认档案是否已经备份,仍是较为安心的动作。●进安全模式:开机时,按下电源键后长按F8 进到安全模式,或透过外接安全的系统进行开机,将重要资料複製到外接式硬碟。
建议防护作法
●建议1:关闭445等通讯埠
建议先关闭Windows系统的445等通讯埠,做应急处理,同时也建议建议关闭网路共用资料夹。但许多使用者可能会问,到底445埠如何关闭?
以Windows 7系统为例,方式如下
【一、开启Windows控制台,透过右上方搜寻找到Windows防火墙,并进入Windows防火墙设定介面】
【二、在Windows防火墙项目中,点选左方「进阶设定」】
【三、开启进阶设定介面后,于「输入规则」点选右键选择「新增规则(N)」】
【四、在新增输入规则精灵介面中,选择建立「连接埠(O)」的规则】
【五、接下来,输入要关闭的埠445】
【六、然后,请选择封锁连线】
【七、请按下一步】
【八、最后替规则取名即完成设定,可输入与事件或规则内容有关内容。】
?
●建议2:关闭SMBv1来加强预防
在伺服器端方面,这次攻击所利用的是Windows共享档案使用的Server Message Block(SMB)漏洞,一些国外资安业者也建议使用者,可以手动关闭SMBv1来加强预防:
以Windows Server 2012系统为例,方式如下
【搜寻Windows features 打开设定画面,把SMB选项取消打勾,并重新开机。】
【或是打开Windows PowerShell,并输入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」】
【或是输入Remove-WindowsFeature FS-SMB1】
在用户端作业系统方面,同样也建议将SMBv1相关功能停用。
以Windows 10系统为例,方式如下
【开启「控制台」,按一下「程式集」,然后按一下「开启或关闭 Windows 功能」,然后将下图中的「SMB 1.0/CIFS档案共用支援」,取消打勾】
这里要注意的是,若Windows 10使用者先前曾经以手动方式或透过工具,关闭Windows 10 自动更新功能,因此同样也要小心。
?
●建议3:安装修补漏洞
建议即刻修补相关漏洞,针对这次事件,微软其实已经在今年3月发布资讯安全公告MS17-010,同时已经针对EternalBlue的攻击发布安全更新,防堵这些攻击所利用的漏洞。相关资讯:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx
由于此次事件影响层面之广,微软也积极让旧版的Windows系统都可以得到防护,因此已经释出最新的系统更新档KB4012598,:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Windows Server 2003 SP2 x64?Windows Server 2003 SP2 x86?Windows XP SP2 x64?Windows XP SP3 x86?Windows XP Embedded SP3 x86?Windows 7 x64Windows 7 x32Windows 8 x86?Windows 8 x64?请使用者随时更新修补程式及防毒软体至最新版本,使用防火墙并关闭不需要之通讯埠及应用程式权限,以确保电脑安全无虞,不要因为一时方便开启不必要的服务,而导致系统出现漏洞。另对防火墙及IDS/IPS等设定部份,建议设定可阻挡WannaCry所使用MS17-010漏洞之特徵或规则。
目前微软也已经在部落格上释出修补程式资讯:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-fo...
更多提醒
防毒大厂趋势科技也提醒用户,在上述方法之外,还有几项建议同样可以参考
●不要点击来路不明的网站和档案等,小心勒索软体还会以其他管道入侵。●如果用户电脑已遭到WannaCryptor攻击,请勿支付赎金,骇客可能因此知道你有能力支付赎金后,未来有很大机会再度攻击。●开启电脑作业系统的Windows Update,随时升级系统与修补漏洞,做好基本系统维护。
相关新闻报导:躲过WannaCry勒索蠕虫风暴?週一上班先不要开电脑,照着这些方法做【MIS必看】WannaCry勒索病毒猖獗!TWCERT/CC教你6步骤自保
相关:
换掉这些DNA 你才能成为一名优秀CFO
我们都知道,CFO的职能已从财务管理上升到了企业价值管理,数字时代的新形势给CFO带来了不小的压力。据IBM的一项针对高级财务管理人员的调查显示,在被调查者中,只有9%的
(原标题:常刮10级大风的边陲小城为何突然挤进了一百家企业?)4月27日中午,郑州铁路局圃田综合货运中心分配给中铁联集集装箱中心站的一列空载货车已经就位。几个小时后,它将满载货物从郑州圃田站出发,踏上西抵欧
环保部第二轮强化督查结果显示66.2%企业存环境问题 [生活]
据环境保护部最新消息,环保部派出的23个督查组已完成第二轮强化督查工作,督查结果显示66.2%的企业存在环境问题。据统计,从4月28日至5月11日,第二轮23个强化督查组共督查了3846家企业(单位),发现2546家企业存在环
六大快递齐涨价:6月1日起这些快递企业集体上调派费! [生活]
【六大快递齐涨价:6月1日起这些快递企业集体上调派费!】剁手党们注意了——6大快递一言不合齐“涨价”!这是怎么回事?根据报道,圆通、申通、中通、韵达、百世、天天快递十分“默契”。纷纷在企业内网发布《关于全
5月9日至11日,赣州市中小企业管理局组织入驻市中小微企业服务中心12名专家团成员深入龙南县、寻乌县、赣县区开展送服务下基层活动,面对面帮助企业解决各项实际困难和问题,赢得企业欢迎。在赣县区服务现场,当地数