必看!关于受WannaCry病毒感染解决方案的 8 个实用问答

记者洪圣壹综合报导

今天是 WannaCry(WanaCrypt0r 2.0,想哭2.0) 勒索病毒肆虐之后的第一个上班日,由于该病毒目前为止并未有一个很明确的破解方案,针对坊间一些流传的说法,许多中小企业的 IT 人员可能会接获来自上级或员工不正确的指示,导致错上加错;为此,《ETtoday东森新闻云》在访问一些相关 IT 产业技术人员后,并整理目前坊间多种流言,进一步以下 8 个建议,希望能有所帮助。

1.交赎金吧?!

如同前面多篇所说,WannaCry(WanaCrypt0r 2.0)勒索病毒大规模攻击所使用的 Windows Server Message Block (SMB) 伺服器漏洞EternalBlue(亦被称为CVE-2017-0144和MS17-10)与新勒索病毒家族(RANSOM_WCRY.I / RANSOM_WCRY.A)的新变种,主要是在感染的系统当中,为档案加密,其最初的目的就是要系统用户交付等同 300 元美元的比特弊赎金,若三天未交付赎金,将会加倍等同 600 美元的比特弊赎金,同时威胁七天内再不支付赎金,WannaCry 将会删除解密金钥

那么真的交付了比特币就没事了吗?其实未必,以目前来说,档案一旦被加密之后,是没有方法能「100%」把所有档案都搬回来。

2.更新微软提供的档案吧?!

从各方面来看,这个作法是目前来说最为正确的。

但这是指还未受到感染的电脑或者想要重新安装新系统的用户所做的防范措施,不管是台湾微软所提出「MS17010」系统更新声明,还是微软公司破例为Windows Vista、XP、Windows 7、Windows 8 等旧系统提供的 KB4012598 更新档为资安防护升级等等...都是针对尚未感染病毒或者针对已经被勒索,但却要完全放弃电脑里面所有档案的人所提供的防治方案,并非是勒索病毒的解决方案

3.赶快给我把报告/公司资料/客户资料救回来?!

依照目前来看,虽然各界都已经在努力尝试,但由于系统加密是覆盖上了新的资料,除非骇客组织大发慈悲主动解密、或防骇相关组织破解 WannaCry ,否则只能说「几乎不可能100%救回」。

不过,若是一些已经删除或者是未被加密的档案,目前坊间有一些解决方案,就是透过系统还原方式,救回部分档案。

目前可行的分别是透过类似《Digital Image Recovery》、《RECUVA》、《Disk Drill》等应用程式来救回部分照片,或是透过《ZAR X》应用程式来救回部分影片跟 RAW 档案,不过被勒索病毒针对的副档名共有 176 种,包括 Microsoft Office、资料库、压缩档、媒体档案和各种程式语言常用的副档名,而上述这些方式并不是 100% 适用于所有人的电脑,原因如上所说。

4.不要点选来路不明网站、或者从不明连结安装来路不明档案?!

这其实是资安防护的基本原则,也是所有人应该要严格遵从的基本常识

此次 WannaCry 是 Shadow Brokers 骇客集团据称从美国国家安全局(NSA)外泄的漏洞之一,攻击该漏洞之后可以将档案送入受害系统,再将此档案作为服务执行,接着再将真正的勒索病毒档案送入受害系统,它会用.WNCRY副档名来对档案进行加密,也会送入另一个用来显示勒索通知的档案。

换句话说,只要整个系统网路有一台电脑中了勒索病毒,那么其他连上网路的电脑都有可能受到感染,这不管你有没有点选来路不明的网站...

比较好的作法是,一大早先请 IT 人员先在同事未开电脑前,进入路由器封锁 TCP UDP Port 139 及 445 、对外对内都要封,再关闭 uPnp,接着彻查整间公司、学校网路内的所有电脑运作是否正常,若发现有电脑受到感染,那么就暂时避免所有电脑共用网路,同时为所有尚未感染的电脑进行微软资安防护系统升级

5.快把备份硬碟接上来用?!

许多有经验的 IT 人员,通常会针对重要系统资料额外进行备份,这是相当正确的做法,不过必须要注意的一点是:如果把硬碟接上到连网电脑端,档案都是有可能被加密的,不管你是外接硬碟、NAS、随身碟、SD 记忆卡等等。

这并不是说都不能使用,而是如果真的要使用备份档案,强烈建议用户要先将电脑网路线拔掉、把 Wifi 关掉之后,再接上硬碟存取档案之后,拔掉备份碟再上网,否则很有可能连备份硬碟都挂点,如果继续复制,很可能连没有感染的电脑都被感染,至于已经受到感染的电脑...就不必了...

6.快安装防毒软体救吧?!

这时候你只要笑就可以了...(因为没用,被破解的话,一定会有媒体相关报导,到时请关注《ETtoday东森新闻云》)

7.快下载破解档?!

目前国外已经出现有很多「声称」已经有破解方案,经过后续验证,这些破解方案,多数只是抢救一些已经被删除的资料,简而言之,截至记者截稿之前,还未有破解档,有的话也要当心,因为很可能会是另外一种不知甚么的病毒。

8.用未感染的电脑救救看?

网路上有个偏方,是把被加密的 D、E 槽整颗拔下来,然后拿到尚未感染的 Mac OS 电脑来「救」档案,这个做法是相当危险的,因为这样不仅连 Mac OS电脑都有可能被感染,接上网路后,甚至有可能让病毒产生新的变种。

※免责声明:本篇文章是在实地访问过专业人员后,提供的建议,或许并非 100% 正确,若在操作过程中出现任何损失本站恕不负责。