>>> 文章點閱數:5,302

WanaCrypt0r 2.0(WannaCry/Wcry) 勒索病毒如何防範設定以及Windows 安全性更新檔下載

WanaCrypt0r 2.0(WannaCry/Wcry)勒索病毒/勒索蠕蟲,這幾天大家都瘋狂的轉載新聞,因為全球都是重災區,而且台灣地區還是全球第二重災區XD(恩主公醫院都中標),一但中標會把所有檔案都加密為 .WNCRY副檔名並對檔案進行加密,而且會要求在三天內支付 300 美金作為贖金(僅接受比特幣付款),若不付款贖金會加倍,七天內沒有付款,就會刪除解密金鑰(雖然還可以殺價XD),而且這次的病毒是針對「Windows的SMB服務漏洞(MS17-010)」,表示所有的 Windows 版本都有可能會遭受感染,外加此病毒具有網路擴散能力,只要連上網路就有可能會中毒,此篇文章要教你如何防範設定以及Windows 安全性更新檔下載網址。

wannacryw7_00

如何預防WannaCry勒索病毒(以Windows 7系統示範)
建議先拔掉「網路線/關閉Wifi」,到另一台電腦下載後,再利用隨身碟/手機等方式將檔案複製到尚未修補的電腦,也請將尚未修補的電腦先停止網路連線,修補完後再開啟網路

一、下載「工具檔(包含網友提供的檢測檔以及關閉SMBv1服務機碼)」
工具檔名稱:WannaCry.rar(內有EternalBlueDetector106以及SMB資料夾)
工具檔名稱:8.70MB

(1)點選「EternalBlueDetector106」資料夾中的「detect_doublepulsar_smb.exe」檔案,確認你的電腦是否有停用「SMBv1服務」以及安裝Windows 「KB4012215」更新檔

這是PTT網友imasa提供的方法以及程式,可以偵測你的電腦是否有中毒(下載載點(v1.06)備用載點(v1.06))。
工具檔:WannaCry.rar(已有包含此程式)

wannacryw7_07若出現此畫面「No presence of DOUBLEPULSAR SMB implant」
你沒有被攻擊以及中毒
Your system has not installed MS-17-010 yet.
Please download KB4019264 and install it.
表示你沒有進行「KB4019264」更新

wannacryw7_08若出現此畫面就表示有停用SMBv1服務服務,以及安裝更新檔,就不用繼續往下操作,但還是記得立馬更新Windows系統,以及安裝防毒軟體,以防萬一。

二、手動關閉「SMBv1服務」/445埠
此方式適用於Windows 7/2008作業系統

因為WannaCry勒索病毒就是透過「SMBv1服務」的漏洞來攻擊,所以我們直接關閉讓他攻擊失敗
此服務對於一般人來說並無用處,別擔心關閉會造成Windows無法使用。
重要:如果怕操作失敗或不會操作者,煩請直接點選「SMB」資料夾中的「StopSMBv1.reg」檔案,直接點選兩下即可!

(1)點選「開始」==>輸入「regedit」,會出現「regedit.exe」的程式檔,在上面點選右鍵,選擇「以系統管理員身份執行」
wannacryw7_05

(2)找到「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters」
找空白處點右鍵新增「DWORD(32-位元值)」,並輸入「SMB1」即可。

wannacryw7_06

 

這次「WannaCry 勒索病毒」所入侵的作業系統漏洞,微軟在2017年3月的時候有進行修補的動作,安全性更新號碼為「KB4012215」,所以若你的作業系統為 Windows XP、Windows Vista、Windows 7 / 8 /8.1 /10 的話,趕快更新 Windows 系統,並確認已經是否有安裝「KB4012215」的更新。
要如何檢查是否有更新「KB4012215」,
點選「控制台」==>「Windows Update」==>「檢視更新紀錄」,檢查是否已經有「KB4012215」更新紀錄,如果有就不用擔心,但沒有的話請點選下列更新檔進行更新。

以下更新檔皆只適用於繁體中文版(如何判斷您的電腦執行的是 32 位元版本或 64 位元版本的 Windows 作業系統
Windows XP SP3:32bit
Windows Vista:32bit64-bit
Windows 7:32bit64-bit
Windows 8:32bit64-bit

Windows 8.1:32bit64-bit
Windows 10: 直接執行 Windows Update
其他語系以及Windows版本更新:點我查詢Windows KB4012598更新檔

三、執行Windows 「KB4012215」更新(例如:windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu(Windows 7 64-bit更新檔))
若出現以下畫面「您要安裝下列 Windows 軟體更新嗎? KB4019264:Windows 安全性更新」的畫面就表示你尚未安裝更新檔,就點下「是」進行更新,更新完成並重新開機,即可完成更新。

wannacryw7_01
wannacryw7_02
wannacryw7_03

若出現以下畫面「 KB4019264:Windows 安全性更新 已經安裝在這部電腦上。」的畫面就表示你已經安裝過系統更新檔。

wannacryw7_04

四、中毒了!!該怎辦?
微軟Microsoft Taiwan官方粉絲團有發出訊息表示「目前Windows Defender已經可以針對發作中的惡意程式,有效的偵測並清除;大家可以從下列位置下載Windows Defender :」
下載網址:https://support.microsoft.com/zh-tw/help/14210/security-essentials-download(不要亂到其他地方下載,因為有可能是假的!)

五、開啟自動更新以及安裝防毒軟體
(1)當你安裝完成更新檔以及停用「SMBv1」服務後,為了防範風險,建議務必將「Windows Update」功能開啟,並更新至最新!
(2)這幾年大家都使用手機(也有很多APP是有植入病毒的)比較少使用電腦,所以都錯過微軟更新,所以建議大家除了開啟微軟自動更新之外,也請安裝防毒軟體這樣也可以防範未然,不管是BitDefender、Kaspersky、PC-cillin、GDATA等等,如果不想付錢也可以微軟系統內建的「Windows Defender」都可以,看在愛伯特曾經是個資安防毒的工程師,看過許多案例只能說「不要點擊來路不明的網址以及檔案」,
防範勝於治療!」,不然到時真的中標,就欲哭無淚了!

★相關文章:
愛伯特撰寫的【資訊安全】全系列

[email protected]好友人數即時接收第一手資訊
歡迎大家一起加入(
愛伯特FB粉絲團
instagram新浪微博G+專頁