Wanna Decrytor / WannaCry / Wcry 勒索病毒(附：預防 刪除 方法)

beckham3

Wanna Decrytor / WannaCry / Wcry 勒索病毒影響全球
據小弟理想解, 這個WannaCry勒索病毒, 傳播能力比現有勒索病毒昇了一個Lev, 不容忽視!

事源Windows系統有一個漏洞(後門), 以便美國國安部會隨時進入.
這個"後門", XP版已經存在至今, 亦相安無事. 但最近這個漏洞給俄國(有國安背景)黑客公開了.
公開之後M$當然出Security Fix, 但這漏洞亦迅即為勒索黑客所利用, 做成這WannaCry攻擊波潮.

情況是, 就算你冇做錯事: 冇下載不明軟體, 冇點擊不明郵件附件, 冇訪問惡意網站, 都一樣會中招!
WannaCry隨機掃描全球電腦, 只要你冇用防火牆(擋port 445), 同時Wins冇安裝security update, 佢就可以直入你電腦, 植入病毒, 潛伏並稹極傳染其他電腦, 等到5月12日同時發作.
(鎮定: 只要你router有開防火牆, 或者你自己Win有開防火牆, 擋port 445, 都可幸免!   
因為M$已經唔再支援XP,冇Seurity Fix,所以XP 機中招機會較大)

5月12日(歐洲時間)在香港是假期, 當下週一上班時, 各位........祝好運!


(詳細說明, 請看2-5樓)
Info from:https://unwire.hk/2017/05/13/wannacry-wcry/top-news/

beckham3

Wanna Decrytor / WannaCry / Wcry 勒索病毒影響全球
Windows 香港受害者上升中 (附：預防 刪除 方法)

全球多個 Windows 電腦中伏，台灣已全球第二重災區，香港今早也一直有網友求救 ! 使用 Windows 的你跟著內文自救，不然你的珍貴相片或檔案被加密後就慘了，請分享幫助別人功德無量。

不按 FILE / 連結也中招
相信很多 unwire.hk 讀者都是聰明人，平常不會亂按 e-mail 連結或開啟不明檔案，但這種 WannaCry 病毒並不需要點擊開啟任何執行檔，它利用了 Windows 的 SMB 漏洞於Port 445 進行攻擊並於遠端執行，讓你防不勝放。

為何全球同一時間中伏
其實這個漏洞一早已被發現，不過很多舊版 Windows 用家未有更新修正檔，中上 WannaCry 病毒也不知，從資料顯示此病毒有潛伏期， 被設定 5 月 12 日是爆發日子，因此由昨天病毒全球爆發，現時台灣成全球第二重災區，香港受害者也急速上升中，在<這裡>可以實時看到此病毒全球覆蓋圖

                               
登錄/註冊後可看大圖

                               
登錄/註冊後可看大圖

                               
登錄/註冊後可看大圖

                               
登錄/註冊後可看大圖

                               
登錄/註冊後可看大圖

幾乎全 Windows 版本會中伏
這款 Wcry 病毒並不只針對閣下，在座全部版本的 Windows 都是受害者，當中包括 :
Windows 10 (v.1507, v.1511, v.1607)
Windows 8 / 8.1
Windows 7
Windows Vista
Win Server 2008、2008 R2、2012、2012 R2
Windows RT
Windows XP

Win 10 自動更新者可逃過一劫
其實此病毒未爆發前，微軟已於  3 月 14  日的更新檔中修正，如果你是 Win 10 用家一早設定自動更新 Windows ，你也許不必擔心。

未收通知也可能中伏
中伏後 Windows 會彈出死亡紅色視窗通知你，並要求支付 Bitcoin (現價約 300 美金)來解鎖。若名未看到紅色視窗不代表你未中伏。可能是未完成加密所有檔案的加密，此時你可以按 Ctrl Atl Del 呼叫程式管理員，看看有否異常的程式一直佔用 CPU 資源，而檔案管理員中開始出現附名 .WCRY 的檔案

                               
登錄/註冊後可看大圖

beckham3

香港微軟官方最新消息 (13/5 11:59pm)
Microsoft掌握到這個勒索軟件 “WannaCrypt” 和網路攻擊已經影響數個區域的不同行業。我們的安全團隊已迅速採取行動來保護我們的客戶，並已經增修最新偵測與防護功能以避免新的勒索軟件威脅（例如： 知名病毒軟件：Win32.WannaCrypt.) 。

今年3月份，我們已經發布了一個安全更新 (security updates)，堵塞了這些攻擊所利用的漏洞。啟用Windows Update的用戶可以防止對此漏洞的攻擊。對於尚未應用安全更新的組織，我們建議您立即部署Microsoft安全公告MS17-010。對於已經安裝我們免費提供的防毒軟件，對該勒索軟件應可以有效偵測並清除，我們強烈建議用戶執行Windows Update 並持續更新，以降低被惡意攻擊的風險。

對於使用Windows Defender的客戶，我們今天稍早時間發布了一個檢測到Ransom：Win32 / WannaCrypt的威脅的更新。作為額外的“深度防禦”措施，請保持安裝最新反惡意軟件軟件。目前Windows Defender已經可以針對發作中的惡意程式，有效的偵測並清除；使用者可以從下列位置下載 Windows Defender: https://support.microsoft.com/zh ... essentials-download

此外，我們正為所有客戶提供額外安全更新，以保護適用於早期Windows 軟件包括Windows Windows XP，Windows 8和Windows Server 2003的Windows平台。請使用以下連結下載安全更新: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

據我們瞭解，這個勒索軟件攻擊並沒有針對Windows 10，只要有下載3月份安全更新已能夠有效地防禦這次攻擊。我們藉此再次呼籲客户盡快升級Windows 10 ，並積極考慮落實部署Microsoft 企業級雲端服務，以時刻確保保安措施是最新版本，為客户提供最強大的防禦。企業用戶可以隨時聯繫Microsoft的客戶經理查詢。

客戶如有任何查詢，可致電Microsoft 香港客戶服務中心電話：+852 2388 9600

beckham3

未中伏前暫時方案：
甚麼都不用說，先斷網絡進行備份!
星期一上班，我可以開電腦嗎 ?
先切斷網絡，移除 lan 線 ／關掉 wifi ，用你的方法停止電腦接上網絡。開機後立即備份重要檔案，緊記別備份在本機或網絡磁碟上。
(免責聲明 : 修改 Windows 有風險請先備份，如因以下方法導致任何損失，本網恕不負責）

Step 2:
你應該快安裝修正檔 ！
更新最新的 5 月份  KB4012264  修正檔，如果你的更新紀錄如下，則表示修正檔已經安裝
Windows 7 : KB4012215 或  KB4015549 或 KB4019264
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215
Windows 10 : 去 Windows 更新便可
Windows 8.1 64：http://download.windowsupdate.co ... 9e3a66568964b23.msu
Windows 8.1 32：http://download.windowsupdate.co ... 345faf7bac587d7.msu
Windows 7 64：http://download.windowsupdate.co ... 124b207d0d0540f.msu
Windows 7 32：http://download.windowsupdate.co ... aabd727d510c6a7.msu
＝＝
以下舊 Windows 已推出 KB4012598 :
Windows Vista 32/64
Windows Server 2008 32/64
Windows Server 2008  (Itanium ):
Windows XP SP2 64 (英／日語) 用家 :
Windows 8 32/64
Windows XP SP3
Windows Server 2003
WES09 / POSReady 2009
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
<官方修正檔網址>

======
假若以上方法失效, 無法安裝修正檔 …
如果你安裝後發現無法使用更新檔，可透過路由器封鎖 139 及 445 埠又或是手動關閉 SMB v1及v2/服務，這或許會影響到你網絡上分享功能

方法 1: 關掉 TCP 445

                               
登錄/註冊後可看大圖

方法 2 : 手動停止 Windows  SMBv1 服務
如何你無法修改路由器設定，你可以通用系統管理員權限修改以下設定

Windows 7/Sever 2008 / Vista 用家：
Step 1: 以系統管理員登入，執行regedit
Step 2 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
找空白處按右鍵新增 DWORD key SMB1, 其數值為 0 (日後成功執行修正檔的話，可把數值由 0 改回 1 )

                               
登錄/註冊後可看大圖

Windows 8 或以上 :
Step 1: 右按以管理員執行 CMD
Step 2: 鍵入powershell (Enter)
set-ExecutionPolicy Unrestricted   (Enter)
set-SmbServerConfiguration -EnableSMB1Protocol $false (Enter)
看到提示後選 Y
成功後重新開機便成功
(日後成功執行修正檔的話，照以上方法，最後一次由 $false 改為 $true )

                               
登錄/註冊後可看大圖

=====
為何我之前一直有更新，一樣中伏 ?
因為資料顯示此病毒有潛伏期，設定為 5  月 12 附近的日子爆發 ! 因此有可能在你電腦自動更新前已中招潛服在內，以下圖片顯示就算你電腦無連網絡，潛伏於電腦內的病毒照樣爆發。

beckham3

為何我之前一直有更新，一樣中伏 ?
因為資料顯示此病毒有潛伏期，設定為 5  月 12 附近的日子爆發 ! 因此有可能在你電腦自動更新前已中招潛服在內，以下圖片顯示就算你電腦無連網絡，潛伏於電腦內的病毒照樣爆發。

                               
登錄/註冊後可看大圖

圖片由 : 卡巴斯基實驗室香港提供

檔案已被加密了怎算 ？
1) WNcry@2ol7 非解鎖密碼
Twitter 瘋傳 WNcry@2ol7 是解鎖密碼 ，但其實只是病毒一部份既解壓碼，用來解壓自己其中的 module繼續攻擊，有部份防毒軟件掃瞄不到有密碼的 zip 檔，所以部份病毒會用法方法加密自己的文件。

                               
登錄/註冊後可看大圖

2）付款不等於會收到解密
由於今次 BITCOIN 收款的地址是統一的，因此開發者無法證明支付者身份，任何人都可以冒認你跟病毒開發者說已付了帳，理論上會提供解密密碼機會很低。話雖如此，Bitcoin 追蹤資料顯示直到現時為止已有 23 單個交易，開發者收取了4.26xxx BITCOIN (現價計算的話，總值 7,210 美元)

3）勿亂安裝不明來歷的破解工具
Wanna Decrytor 暫時未有任何通用解密方法，可是中國網上已有很多所謂的破解工具，但其實檔案被加密後，那隨機密碼不可能用你自家電腦的運算力於短時間內破解，因此這類破解檔很多時是木馬程式，安裝後找尋 PC 內銀行或信用咭密碼，讓你受二次傷害

移除病毒步驟:

以上影片乃youtube提供,與本站無關; 若無法觀看,可查看原網址。

HKOXSEX

其實有簡單 firewall 功能 router 都好平.
家庭用戶應該都要有

beckham3

HKOXSEX 發表於 2017-5-14 15:57

                               
登錄/註冊後可看大圖

其實有簡單 firewall 功能 router 都好平.
家庭用戶應該都要有

有個情況,都幾危:
Sales 帶NB出街, 用手指上網, 中招而未察覺. 返公司後把NB接LAN繼續做野, 咁就一鑊熟!
唔知用手機分享wifi有冇firewall功能?

koovil

唔明點解D大機構甚至公安都會中，基本Firewall 都冇?

馬後砲

koovil 發表於 2017-5-14 17:03

                               
登錄/註冊後可看大圖

唔明點解D大機構甚至公安都會中，基本Firewall 都冇?

問得好
大陸政府機關指定用某個DISTRO的LINUX版本
理論上不會中招

不過據我所知由於操作容易及低開發成本
一些下級機構企業未有跟足國家規定而用WINDOWS

Peers123

快快將資料備份

HKOXSEX

beckham3 發表於 2017-5-14 17:02

                               
登錄/註冊後可看大圖

有個情況,都幾危:
Sales 帶NB出街, 用手指上網, 中招而未察覺. 返公司後把NB接LAN繼續做野, 咁就一鑊熟!
唔知用手機分享wifi有冇firewall功能?

所以 Windows Firewall, 當接 Wifi 時, 會問係咪 Public, 如果 Public, 就乜都 Block.
基本上, 用手機分享wifi, 通常冇 Firewall,
不過有D Wifi 蛋有, 理論上 手機都可以

黃金發

WannaCry 開左就真係cry哪
咁係咪有firewall 就無樹吖

馬後砲

路路發 發表於 2017-5-14 18:10

                               
登錄/註冊後可看大圖

WannaCry 開左就真係cry哪
咁係咪有firewall 就無樹吖

有FIREWALL都要識關左PORT 445 先得

Freeman2007

母親節快樂

馬後砲

beckham3 發表於 2017-5-14 17:02

                               
登錄/註冊後可看大圖

有個情況,都幾危:
Sales 帶NB出街, 用手指上網, 中招而未察覺. 返公司後把NB接LAN繼續做野, 咁就一鑊熟!
唔知用手機分享wifi有冇firewall功能?

手機WIFI都系行802.11X encryption, 理論上firewall存在
Android 手機行LINUX KERNEL, 也沒有WINDOWS FILE SHARING BUG.
都有的保護作用

不過NB如打開過電郵而中毒, 就冇得救了

leekf333

出嚟行......遇咗還

kslp3

日日都要用電腦,隨遇而安,

Gino17

Scumbag hackers go to hell!

cegong

禾部電腦有好多相片等資料,睇嚟要储存去Pen Drive先！

kingkong_hk

唔駛BLOCK 445, 只要將445 FOR去空置IP就冇事