Wanna Decrytor / WannaCry / Wcry 勒索病毒(附：預防刪除方法)

beckham3 · 發表於 2017-5-14 15:47:44

Wanna Decrytor / WannaCry / Wcry 勒索病毒影響全球
據小弟理想解, 這個WannaCry勒索病毒, 傳播能力比現有勒索病毒昇了一個Lev, 不容忽視!

事源Windows系統有一個漏洞(後門), 以便美國國安部會隨時進入.
這個"後門", XP版已經存在至今, 亦相安無事. 但最近這個漏洞給俄國(有國安背景)黑客公開了.
公開之後M$當然出Security Fix, 但這漏洞亦迅即為勒索黑客所利用, 做成這WannaCry攻擊波潮.

情況是, 就算你冇做錯事: 冇下載不明軟體, 冇點擊不明郵件附件, 冇訪問惡意網站, 都一樣會中招!
WannaCry隨機掃描全球電腦, 只要你冇用防火牆(擋port 445), 同時Wins冇安裝security update, 佢就可以直入你電腦, 植入病毒, 潛伏並稹極傳染其他電腦, 等到5月12日同時發作.
(鎮定: 只要你router有開防火牆, 或者你自己Win有開防火牆, 擋port 445, 都可幸免!
因為M$已經唔再支援XP,冇Seurity Fix,所以XP 機中招機會較大)

5月12日(歐洲時間)在香港是假期, 當下週一上班時, 各位........祝好運!

(詳細說明, 請看2-5樓)
Info from:https://unwire.hk/2017/05/13/wannacry-wcry/top-news/

beckham3 · 發表於 2017-5-14 15:47:45

Wanna Decrytor / WannaCry / Wcry 勒索病毒影響全球
Windows 香港受害者上升中 (附：預防刪除方法)

全球多個 Windows 電腦中伏，台灣已全球第二重災區，香港今早也一直有網友求救 ! 使用 Windows 的你跟著內文自救，不然你的珍貴相片或檔案被加密後就慘了，請分享幫助別人功德無量。

不按 FILE / 連結也中招
相信很多 unwire.hk 讀者都是聰明人，平常不會亂按 e-mail 連結或開啟不明檔案，但這種 WannaCry 病毒並不需要點擊開啟任何執行檔，它利用了 Windows 的 SMB 漏洞於Port 445 進行攻擊並於遠端執行，讓你防不勝放。

為何全球同一時間中伏
其實這個漏洞一早已被發現，不過很多舊版 Windows 用家未有更新修正檔，中上 WannaCry 病毒也不知，從資料顯示此病毒有潛伏期，被設定 5 月 12 日是爆發日子，因此由昨天病毒全球爆發，現時台灣成全球第二重災區，香港受害者也急速上升中，在<這裡>可以實時看到此病毒全球覆蓋圖

幾乎全 Windows 版本會中伏
這款 Wcry 病毒並不只針對閣下，在座全部版本的 Windows 都是受害者，當中包括 :
Windows 10 (v.1507, v.1511, v.1607)
Windows 8 / 8.1
Windows 7
Windows Vista
Win Server 2008、2008 R2、2012、2012 R2
Windows RT
Windows XP

Win 10 自動更新者可逃過一劫
其實此病毒未爆發前，微軟已於 3 月 14 日的更新檔中修正，如果你是 Win 10 用家一早設定自動更新 Windows ，你也許不必擔心。

未收通知也可能中伏
中伏後 Windows 會彈出死亡紅色視窗通知你，並要求支付 Bitcoin (現價約 300 美金)來解鎖。若名未看到紅色視窗不代表你未中伏。可能是未完成加密所有檔案的加密，此時你可以按 Ctrl Atl Del 呼叫程式管理員，看看有否異常的程式一直佔用 CPU 資源，而檔案管理員中開始出現附名 .WCRY 的檔案

beckham3 · 發表於 2017-5-14 15:47:46

香港微軟官方最新消息 (13/5 11:59pm)
Microsoft掌握到這個勒索軟件 “WannaCrypt” 和網路攻擊已經影響數個區域的不同行業。我們的安全團隊已迅速採取行動來保護我們的客戶，並已經增修最新偵測與防護功能以避免新的勒索軟件威脅（例如：知名病毒軟件：Win32.WannaCrypt.) 。

今年3月份，我們已經發布了一個安全更新 (security updates)，堵塞了這些攻擊所利用的漏洞。啟用Windows Update的用戶可以防止對此漏洞的攻擊。對於尚未應用安全更新的組織，我們建議您立即部署Microsoft安全公告MS17-010。對於已經安裝我們免費提供的防毒軟件，對該勒索軟件應可以有效偵測並清除，我們強烈建議用戶執行Windows Update 並持續更新，以降低被惡意攻擊的風險。

對於使用Windows Defender的客戶，我們今天稍早時間發布了一個檢測到Ransom：Win32 / WannaCrypt的威脅的更新。作為額外的“深度防禦”措施，請保持安裝最新反惡意軟件軟件。目前Windows Defender已經可以針對發作中的惡意程式，有效的偵測並清除；使用者可以從下列位置下載 Windows Defender: https://support.microsoft.com/zh ... essentials-download

此外，我們正為所有客戶提供額外安全更新，以保護適用於早期Windows 軟件包括Windows Windows XP，Windows 8和Windows Server 2003的Windows平台。請使用以下連結下載安全更新: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

據我們瞭解，這個勒索軟件攻擊並沒有針對Windows 10，只要有下載3月份安全更新已能夠有效地防禦這次攻擊。我們藉此再次呼籲客户盡快升級Windows 10 ，並積極考慮落實部署Microsoft 企業級雲端服務，以時刻確保保安措施是最新版本，為客户提供最強大的防禦。企業用戶可以隨時聯繫Microsoft的客戶經理查詢。

客戶如有任何查詢，可致電Microsoft 香港客戶服務中心電話：+852 2388 9600

beckham3 · 發表於 2017-5-14 15:47:47

未中伏前暫時方案：
甚麼都不用說，先斷網絡進行備份!
星期一上班，我可以開電腦嗎 ?
先切斷網絡，移除 lan 線／關掉 wifi ，用你的方法停止電腦接上網絡。開機後立即備份重要檔案，緊記別備份在本機或網絡磁碟上。
(免責聲明 : 修改 Windows 有風險請先備份，如因以下方法導致任何損失，本網恕不負責）

Step 2:
你應該快安裝修正檔！
更新最新的 5 月份  KB4012264  修正檔，如果你的更新紀錄如下，則表示修正檔已經安裝
Windows 7 : KB4012215 或  KB4015549 或 KB4019264
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215
Windows 10 : 去 Windows 更新便可
Windows 8.1 64：http://download.windowsupdate.co ... 9e3a66568964b23.msu
Windows 8.1 32：http://download.windowsupdate.co ... 345faf7bac587d7.msu
Windows 7 64：http://download.windowsupdate.co ... 124b207d0d0540f.msu
Windows 7 32：http://download.windowsupdate.co ... aabd727d510c6a7.msu
＝＝
以下舊 Windows 已推出 KB4012598 :
Windows Vista 32/64
Windows Server 2008 32/64
Windows Server 2008  (Itanium ):
Windows XP SP2 64 (英／日語) 用家 :
Windows 8 32/64
Windows XP SP3
Windows Server 2003
WES09 / POSReady 2009
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
<官方修正檔網址>

======
假若以上方法失效, 無法安裝修正檔 …
如果你安裝後發現無法使用更新檔，可透過路由器封鎖 139 及 445 埠又或是手動關閉 SMB v1及v2/服務，這或許會影響到你網絡上分享功能

方法 1: 關掉 TCP 445

方法 2 : 手動停止 Windows SMBv1 服務
如何你無法修改路由器設定，你可以通用系統管理員權限修改以下設定

Windows 7/Sever 2008 / Vista 用家：
Step 1: 以系統管理員登入，執行regedit
Step 2 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
找空白處按右鍵新增 DWORD key SMB1, 其數值為 0 (日後成功執行修正檔的話，可把數值由 0 改回 1 )

Windows 8 或以上 :
Step 1: 右按以管理員執行 CMD
Step 2: 鍵入powershell (Enter)
set-ExecutionPolicy Unrestricted (Enter)
set-SmbServerConfiguration -EnableSMB1Protocol $false (Enter)
看到提示後選 Y
成功後重新開機便成功
(日後成功執行修正檔的話，照以上方法，最後一次由 $false 改為 $true )

=====
為何我之前一直有更新，一樣中伏 ?
因為資料顯示此病毒有潛伏期，設定為 5 月 12 附近的日子爆發 ! 因此有可能在你電腦自動更新前已中招潛服在內，以下圖片顯示就算你電腦無連網絡，潛伏於電腦內的病毒照樣爆發。

beckham3 · 發表於 2017-5-14 15:47:48

為何我之前一直有更新，一樣中伏 ?
因為資料顯示此病毒有潛伏期，設定為 5 月 12 附近的日子爆發 ! 因此有可能在你電腦自動更新前已中招潛服在內，以下圖片顯示就算你電腦無連網絡，潛伏於電腦內的病毒照樣爆發。

圖片由 : 卡巴斯基實驗室香港提供

檔案已被加密了怎算？
1) WNcry@2ol7 非解鎖密碼
Twitter 瘋傳 WNcry@2ol7 是解鎖密碼，但其實只是病毒一部份既解壓碼，用來解壓自己其中的 module繼續攻擊，有部份防毒軟件掃瞄不到有密碼的 zip 檔，所以部份病毒會用法方法加密自己的文件。

2）付款不等於會收到解密
由於今次 BITCOIN 收款的地址是統一的，因此開發者無法證明支付者身份，任何人都可以冒認你跟病毒開發者說已付了帳，理論上會提供解密密碼機會很低。話雖如此，Bitcoin 追蹤資料顯示直到現時為止已有 23 單個交易，開發者收取了4.26xxx BITCOIN (現價計算的話，總值 7,210 美元)

3）勿亂安裝不明來歷的破解工具
Wanna Decrytor 暫時未有任何通用解密方法，可是中國網上已有很多所謂的破解工具，但其實檔案被加密後，那隨機密碼不可能用你自家電腦的運算力於短時間內破解，因此這類破解檔很多時是木馬程式，安裝後找尋 PC 內銀行或信用咭密碼，讓你受二次傷害

移除病毒步驟:

以上影片乃youtube提供,與本站無關; 若無法觀看,可查看原網址。