相信大家在2017年5月時都有聽過wannacry這個字,也是從這個時候才比較多使用者開始更加注重資安以及備份,這邊我們就來談談為什麼這次的攻擊這麼的嚴重,造成大量的使用者及公司的檔案皆被加密。
這次的wanncry有別於以前的勒索病毒,過去的勒索病毒是靠著使用者點擊不明連結、下載郵件附件等等行為導致電腦中毒,基本上這類的攻擊方式都需要藉由使用者的操作才有辦法作用(像是點擊、下載、安裝、瀏覽),而這次的wannacry則是利用windows作業系統本身的漏洞來主動發起攻擊,將使用者的所有檔案全部加密,除了主動攻擊外,還會在區域網路中擴散並攻擊區域網路中的所有電腦。
其實微軟在病毒開始大量肆虐前兩個月時就已發布漏洞修正檔,但多數的使用者對於微軟的強迫更新方式非常感冒而關閉了Windows自動更新導致於電腦未收到最新的修正檔,企業也有可能因為公司內部的程序或是程式的相容性而未立即更新作業系統,且這次的勒索攻擊還會透過區域網路傳遞,所以wannacry在這一波的攻擊非常猛烈。
而微軟在攻擊發生後數個月的Windows 10 1709 Fall Creator Update發布更新時一併發出公告,說明之後的新版本皆不再預設安裝這次被攻擊的”SMBv1″,並且強烈建議不要重新安裝SMBv1,因為這個舊版通訊協定已知具有勒索病毒及其他惡意程式相關的安全性問題。
參考連結:https://support.microsoft.com/en-us/help/4034314/smbv1-is-not-installed-by-default-in-windows
至於更新詬病的問題,微軟在2018年7月時有發表一篇更新說明,文內微軟說明成功研發了新的預測模型並且會改善Windows 10重新啟動的機制、更新Windows 10 重新開機的執行邏輯,且會掌握使用者使用電腦的時間,將不再強制中斷工作中的電腦重啟。相信每個Windows 10使用者都非常期待這個更新
接下來談談如何預防勒索病毒:
這邊簡單列出幾個需要留意的部分
1.切勿點擊任何不明連結,下載郵件附件、網頁上的廣告等
2.將系統升級至Windows 10 並且更新至最新版本,且開啟自動更新隨時更新系統
3.安裝防毒軟體
4.備份
一定要將重要資料備份,不管是備份至公有雲(如GoogleDrive、OneDrive等)、備份至NAS或是備份至外接硬碟,另外也可以關閉不常用到的服務
1.關閉遠端連線功能
2.開啟防火牆,關閉不必要的port位 (如Wannacry所攻擊的445 port)
如何確認是否中了勒索病毒?
1.通常勒索病毒加密完成後,會將使用者的桌布改成:您的檔案已被勒索..等等訊息並留下支付贖金方式,通常出現此類訊息代表電腦已被勒索
2.你也可以開啟檔案總管,並在檢視功能列打開”檢視副檔名”,並瀏覽硬碟裡的資料,若副檔名為亂碼或是為勒索病毒常見附檔名(如.wncry等)則有極大可能被勒索,
那如果是已經中了勒索病毒可以怎麼處理呢?
1.立即斷開網路線並關機,勒索病毒可能透過網路攻擊區域網路中的電腦
2.將硬碟拆下並封存,並且等待防毒軟體公司所釋出的解密工具
3.將硬碟完全清除,並且重新安裝最新版本的作業系統
4.支付贖金(除非資料非常重要且救不回來,因為也有可能支付贖金而得不到解密金鑰)
以上提供幾個解決辦法,勒索病毒日新月異,最重要的還是要養成良好的操作習慣以及時常備份!