您在這裡

如何避免中「想哭」(WannaCry)勒索程式?

jack 在 週六, 05/13/2017 - 17:41 發表

這兩天 WanaCrypt0r 2.0勒索病毒在全球猖獗,而台灣更是在一開始就被鎖定為第一波的攻擊目標,所以昨天(5/12)就開始陸續傳出重大災情。目前全世界災情可謂哀鴻遍野。

WanaCrypt0r 2.0 是WannaCry的別名,前者意思是「要加密」,後者則是「想哭」。感染這隻惡意程式之後就是整台電腦的資料檔案全被加密而讓你完全無法做任何事,讓人一整個想哭。然後攻擊者就會要求你透過比特幣付贖款,大約在300美元左右,而且聽說價格還會隨時間而提高。

至於付贖款之後能不能幫你全部解密,救回你的檔案,這個就不保證了。例如,假設你有利用安全程式去做過什麼事,就恐怕救不回來了。或者攻擊者剛好那時跪過主機板不爽,你大概也只能白付贖金。

贖金該不該付也是一個很有爭議的問題,多數安全業者會建議不要付。原因很複雜,但主要是不宜助長這種犯罪之外,付贖金雖然有機會救回檔案,但也很有可能救不回。只不過,如果你的資料很重要,非救回來不可,付贖金取得解密金鑰還是最簡便而有效的方法就是了。

這次受害者以Windows 7 居絕大多數,似乎 Windows 10是安全的,所以很多新聞與報導都建議使用者要升級到 Windows 10,但真的是這樣嗎?

據微軟官方說明,原因應該是Windows 10 這次沒有被鎖定,並不是因為Windows 10能夠對這類勒索程式免疫。理論上,只要你的電腦有這個漏洞然後沒修補,又遇上攻擊者發動惡意攻擊,就有機會。這次應該是因為Windows 10平台的修補較完備而無利可圖。但Windows 7的修補措施不完備,全世界待宰的電腦特別多,有利可圖之下就被鎖定了。又或者,改天攻擊者利用別的方法來攻擊,例如網釣手法,應該也不會分什麼7、8還是10的。

但為什麼這次 Windows 7這麼慘?

我去查看一下這次攻擊者所利用的安全漏洞的相關安全公告發現,微軟在三月就已經釋出安全更新了。

Microsoft 資訊安全公告 MS17-010

該勒索病毒利用的是 Windows SMBv1漏洞進行攻擊,該漏洞讓攻擊者可以在任何受害電腦上執行任意程式。如果三月的安全公告中就已釋出安全更新(補強程式)怎麼五月還會傳出如此嚴重災情?

災情重大的可能原因,可能是微軟先前為了推行Windows 10,使用強迫的手段,許多無法習慣 Windows 10 的使用者(我也是其中之一),當時唯一的選擇就是關閉PC的自動更新功能。網路上也有很多教學文章教人這麼做。 

假設你沒在事過境遷之後把電腦更新設定改回自動更新,又沒養成經常檢查更新的習慣,保持電腦最新更新狀態,那麼這次就有很大機會中標了。

所以,我認為這次災情的嚴重,微軟絕對應該好好檢討其安全措施,是否因為一些作為不當而讓上億的使用者陷入了這次的安全風暴?

該怎麼辦?

關於這個WannaCry讓人哭勒索程式的詳細說明,建議大家詳讀各大資安公司的網站說明。

例如卡巴斯基這篇文章(英文) 。這篇文章最後談到如何救檔案,只是我不大確定感染之前就已被加密的檔案是否能夠救回來?

但假設你在一發現感染時就緊急關機,被感染的檔案還不多,似乎可以透過此法救回來。

該文提供的救回檔案方法關鍵有二:一是立即為電腦做安全更新,修補相關漏洞。二是利用Kaspersky System Watcher(卡巴斯基系統監測)元件。該元件宣稱有檔案的回溯功能,可以讓檔案回到被加密之前的狀態。另外卡巴斯基還宣稱,這兩天該公司的安全程式已經成功攔截74國的45,000攻擊。

以下是Kaspersky System Watcher簡單使用說明的中文翻譯:

  • 確認所有的主機(電腦)已經安裝並執行安全程式。
  • 安裝微軟的官方修補程式(MS17-010),以關閉受影響的SMB Server漏洞。
  • 確定卡巴斯基安全程式中的System Watcher元件已啟用。
  • 掃瞄全系統。在偵測到MEM:Trojan.Win64.EquationDrug.gen攻擊之後,重啟電腦。同樣的,再次確認已安裝MS17-010修補程式。

據卡巴斯基說明,該公司也正在開發相關工具,期望能夠幫使用者解密檔案。 

另外,我大概逛了幾家大的安全業者網站,都有對此惡意程式提出說明,多數安全軟體都有防護能力之外,業者也都正設法開發解密工具。像微軟官方安全程式Windows Defender最新更新也可阻檔該攻擊。

另外,以前也曾有過攻擊者被破獲,然後將解密金鑰公開出來讓安全業者開發解密工具的例子。

 

預防措施

在發現中標的時候,如果可以的話立即暴力關機中止加密程式的執行或許可以減少被加密的檔案數。

接著千萬不要做兩件事:一、直接以沒被感染的系統去救被感染的硬碟或系統。二、拿著你離線的外接硬碟去為被感染的系統做備份,這是提油救火(真的有人這麼做)。

以沒被感染的系統來救被感染系統的資料或許是可行的,但是要先確認系統已經做好準備:一已做好安全更新,並已安裝好安全軟體。二是做好資料備份,萬一沒救援成功或救援過程中也被加密就更慘了。 

但所謂預防勝過治療,這次躲過一次「要哭」程式,以後還有千千萬萬個讓你要哭的勒索程式,這無關於你用的是win 7還是win 10。

所以平常養成良好的使用習慣是最重要的。

一、養成軟體更新的好習慣。

基本上電腦上任何軟體都要隨時更新。但有兩大重點。一是作業系統,最好設定自動更新。其次是安全程式(防毒軟體),要隨時更新。

二、安裝安全軟體

雖然安全軟體不盡然可以防堵所有這類程式,但是有安裝總比沒安裝安全一些。例如這次的攻擊,其實很多安全程式好像都能夠成功攔截。多數目前都加入該惡意程式的特徵檔了。

三、不要點選來路不明的連結

包括親朋好友分享的連結;而且即使連結看似合法的也要小心。

特別是現在縮網址(短網址)很流行,看不懂連結會連到那裡、什麼東西,就千萬別點,即使看得懂,也要小心。這隻程式前陣子就有另一波攻擊,就是利用了Dropbox URL連結。另外還有假冒Google Docs文件的攻擊事件。

四、做好離線的備份

電腦最寶貴的是資料。例如,那累積十幾二十年的家庭照片,或著是肥宅的D槽。 

電腦系統只要格式化重安裝就好了。但資料被加密萬一救不回就全毀了。備份時假設是與電腦隨時連線,那麼在電腦中毒時也是很危險的。所以建議要有離線的備份。就是該備份系統平常與電腦是分開而且沒連接在家庭內網路上的