WannaCry勒索病毒全球范围持续扩散!如何預防?中毒了怎麼辦?

WannaCry勒索病毒在全球范围持续扩散,12日勒索病毒的网路攻击至少波及150国,受害人数多达20万人。以名为WannaCry的病毒所发动攻击似渐趋缓,但恐有更多人受害。

什麼是WannaCry?

勒索軟體是一種程式,它經由民眾不經意點擊的惡意連結、或是不小心下載的惡意附件,入侵電腦。緊接著,它會鎖住電腦中的檔案並予加密,讓你無法再開啟檔案。

此惡意程式名為「想哭」(WannaCry),也叫做WanaCrypt0r 2.0、WCry、或以該字變化出來的名字。許多資安公司已知道過去的WannaCry型態,大部分都在研究現在這個WannaCry,以找出阻擋它蔓延的破解之道。至少有28種語言,包括保加利亞語和越南語。

受害者將計算機中毒的畫面上傳在推特上。

它會鎖住電腦中的檔案並予加密,讓你無法再開啟檔案。並向受害者勒索。

台灣實況主黑羽,發了影片顯示他的切身之痛:

勒索比特幣 不付錢就「撕票」?

這項惡意軟體鎖住檔案後,會向受害者勒索300美元的比特幣,而後每兩小時增加100美元,一路增至600美元。

有報導指出,比特幣虛擬錢包自12日起便湧入大量虛擬現金。

但是,如同各種型態的勒索案件,把贖金交給綁匪,也無法保證能安全贖回檔案,且對方說不定早已「撕票」。

現在災情如何?

据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(目前已有大约150个国家遭到攻击)。數字在持續增長中!

中国大陆:加油站、教育網為病毒重災區

2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播。随后,山东大学、南昌大学、广西师范大学、桂林電子科技大學、大连海事大学、东北财经大学等十几家高校发布通知,提醒师生注意防范。

除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网和政企专网也遭遇了病毒袭击,许多公安机关和政府部门由于勒索软件的影响被迫停止工作。中国国家互联网应急中心发布关于防范WannaCry的情况通报,称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个。由于中国大陆个人网络用户的445网络端口大多已被网络运营商屏蔽,故该病毒对一般家庭用户影响不大。

香港

截至香港時間2017年5月16日為止,香港電腦保安事故協調中心收到受加密勒索軟件「WannaCry」攻擊的報告,增至31宗,比15日多14宗。新增個案一宗來自商業機構,其餘是家庭用戶,大部分都是使用微軟Windows軟件或伺服器。其中家庭用戶多使用Windows 7;商業用戶涉及Windows 7及Windows 2008系統。香港警方亦接獲3宗有關報案。

臺灣

此病毒也重創臺灣,新北市恩主公醫院一台醫療推車電腦遭「想哭(WannaCry)」病毒勒索,目前了解是單一醫療推車出現病毒,並不影響住院、急診。中石油所屬部分加油站營運受到波及,中石油進行緊急應對後,目前受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。

大林電廠行政電腦中毒,已立即隔離,供電與更新工程皆不受影響。此外傳出大量受害個案。

臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。

英国:醫院看診受波及

勒索软件影响了英国医疗系统的运作。由於勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。英国国民保健署在2016年仍然有上千台电脑在使用Windows XP]而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。

美國:快遞也受害

美國聯邦快遞公司12日表示,該公司使用的微軟系統因惡意軟體而「遭干擾」,將盡快修復。

馬來西亞

此病毒開始蔓延到馬來西亞,出現零星個案。

其他:俄國感染最嚴重

此外,巴西圣保罗法院、加拿大公共卫生服务机构Lakeridge Health、哥伦比亚国立卫生研究院、法国雷诺、德国铁路系统、印度安得拉邦警察局、印度尼西亚的多家医院、意大利米兰比科卡大学、罗马尼亚外交部、俄罗斯通讯运营商MegaFon、俄罗斯联邦内务部、俄罗斯铁路以及西班牙、瑞典、匈牙利、泰国、荷兰、葡萄牙等将近一百个国家的机构院所也受到波及。

如何預防勒索病毒?

快更新作業系統

這次主要攻擊目標為Windows 7、Windows 8、Windows 8.1、Windows XP等作業系統,今年3月微軟公司已推出「修補漏洞程式」,呼籲民眾儘速更新相關作業及應用程式,並備份電腦內的重要資料。

文件定期備份

立即使用隨身碟、外接硬碟或者雲端空間,備份重要資料。

不要亂點網址

資安專家提醒,很多勒索軟體都是透過電子郵件、信息,引誘民眾去點,只是要來路不明的郵件、網站網址或是疑似釣魚郵件,都不要去點。朋友發來的網站先向別人確認是否是本人發出,駭客可能會盜用戶口發信息。

如果中毒了怎麼辦?

KPMG安侯企管数位科技安全服务协理邱述琛也提出紧急应变SOP,总共有“拔-观-报-停-救-查-控”7大步骤。

他表示,企业若不幸发生遭到勒索软体绑架时,可参考以下的紧急应变SOP。(家庭電腦也可參考)

1.拔:企业内使用者应先拔除网路线并进行检查,避免勒索软体利用内部网路进行扩散与感染。

2.观:未遭到勒索前,可以按Ctrl+Atl+Del呼叫程式管理员,观察有否异常的程式一直占用CPU资源,或电脑出现附名.WCRY的档案。

3.报:使用者发现遭受感染时应于第一时间依程序进行通报

4.停:资讯人员接获通报立即停止受害者网路账号与使用电脑连网能力。

5.救:资讯人员取出受害者硬碟,并接入另外一台未连网电脑进行抢救与调查。

6.查:资讯人员立即清查受害者账号权限与本机及网路感染状况。

7.控:资讯人员随时由资安监控系统(如SOC等)、网路防御设备(如IPS、Firewall等)之监控纪录侦测异常事件,避免损失扩大。

据中央社报导,由于此次勒索病毒透过扫描Windows作业系统的445连接埠来感染电脑,以下为关闭445通讯埠的参考步骤。

第一,从控制台中选择“Windows防火墙”,并点选左方“进阶设定”。第二,于“输入规则”点选右键选择“新增规则(N)…”。第三,选择建立“连接埠(O)”的规则,并输入要关闭的445,务必使用半型输入。

第四,选择“封锁连线”,并建议于所有网路环境套用规则。第五,针对规则命名,建议名称可与事件或规则内容有关,避免忘记其用途,例如:TrendMicro_WCRY_445_Block。

此外,趋势科技也建议企业员工与一般用户立即执行以下操作,避免病毒攻击。第一,立即使用随身碟、外接硬碟或者云端空间,备份你的重要资料。第二,关闭Windows系统的445通讯埠,关闭网路共用资料夹。第三,不要点击来路不明的网站和档案等。

第四,修补相关漏洞,微软EternalBlue安全性修补程式的安装可点此:https://technet.microsoft.com/zh-cn/library/security/MS17-010,而Windows XP、Windows 8等系统的使用者,可以点击这里下载安装修补程式:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

第五,开启电脑作业系统的Windows Update,随时升级系统与修补漏洞。

分享