WanaCrypt0r 2.0 (勒索病毒)
(5/12 爆發) 大規模攻擊未更新 Windows漏洞系統 !
這一批 勒索病毒 是針對 Windws SMB 裡的 445 port
漏洞 (代號 MS17-010) 來直接進行攻擊。
簡單來說就是,你只要連接網路,就有機率中毒。
(5/19 更新) 此篇會教你目前已知的所有 防 解 救 方法 !
感謝防範方法提供人
Wang Dang / paul40807 / imasa / KevinYu0504 / 阿達
----------------------------------------------------------------------------------------------------
(5/12 爆發) 大規模攻擊未更新 Windows漏洞系統 !
這一批 勒索病毒 是針對 Windws SMB 裡的 445 port
漏洞 (代號 MS17-010) 來直接進行攻擊。
簡單來說就是,你只要連接網路,就有機率中毒。
(5/19 更新) 此篇會教你目前已知的所有 防 解 救 方法 !
感謝防範方法提供人
Wang Dang / paul40807 / imasa / KevinYu0504 / 阿達
----------------------------------------------------------------------------------------------------
感染癥狀
當感染後電腦內所有資料都會被加密,所有檔案都會被加密成.WNCRY檔案,
畫面上會跳出紅色視窗要求支付價值300美元比特幣當成贖金,
如果在三天內無支付,就會加倍贖金金額,
超過七天後就會自動刪除解密的金鑰,導致檔案無法透過解密金鑰復原。
---------------------------------------------------------------------------------------------------
相關更新說明
1. 目前這已知最新版 W10 (1703 版) 不會遭受此病毒攻擊。
如果還沒升級最新版本,請直接更新。(未更新會有機率中毒)
2. 電腦如有安裝任何 防毒軟體,近期請盡量保持最新版本。
20款 防毒軟體 主動防禦 測試 :
https://www.mobile01.com/topicdetail.php?f=508&t=5150528
(防毒軟體 也會對於此次變種勒索病毒進行防護開發)
3. 下載安裝後如出現「此更新不適用於你的電腦」
建議檢查: 控制臺 > 解除安裝程式 > 檢查安裝的更新,裡面是否已安裝,
(W7) KB4012215 or (W8.1) KB4012216 or (XP / Vista / W8) KB4012598。
如沒安裝,那可能是W7版本過舊,請直接透過 Windows Update 更新。
開啟自動更新: 控制臺 > 系統及安全性 > Windows Update
> 檢查更新 (先按) > 變更設定 (後設) > 自動安裝更新 (定時)
----------------------------------------------------------------------------------------------------
Windows 漏洞 補丁載點
W7 (32bit)
http://download.windowsupdate.com/…/windows6.1-kb4012215-x8…
W7 (64bit)
http://download.windowsupdate.com/…/windows6.1-kb4012215-x6…
W8.1 (32bit)
http://download.windowsupdate.com/…/windows8.1-kb4012216-x8…
W8.1 (64bit)
http://download.windowsupdate.com/…/windows8.1-kb4012216-x6…
XP / Vista / W8 (32 / 64bit)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
注意此更新只支援正版Windows序號,盜版安裝後可能會出現破解失敗問題。
----------------------------------------------------------------------------------------------------
SMB 手動阻擋
W7 阻擋方法:
1. 按 Windows鍵 + R 輸入 regedit 按 確定
2. 找到 HKEY_LOCAL_MACHINE
> System > CurrentControlSet > Services > LanmanServer > Parameters
3. 在空白處按右鍵 > 新增 > DWORD(32位元)值
名稱輸入: SMB1 (不管 x86 / x64)
4. 對新增的 SMB1 右見 修改 數值資料: 0
5. 修改完成 重新開機
W8.1 阻擋方法:
1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、
選 Y (預設值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration /
Select EnableSMB1Protocol, EnableSMB2Protocol
來檢查是否設定成功
6. 設定完成 重新開機
XP 阻擋方法:
請關閉 網路連線內容 的 File and Printer Sharing for Microsoft Networks
1. 開始 > 設定 > 控制臺 > 網路連線
2. 選擇你的對外連線 (例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 設定完成 重新開機
----------------------------------------------------------------------------------------------------
關閉 連接阜445 功能
關閉 SMB 功能
以上所有方法不保證可完全阻擋,只是減少電腦被病毒感染的機率。
----------------------------------------------------------------------------------------------------
阻擋 WanaCrypt0r 2.0 防毒軟體
(專防勒索/不支援XP) Cybereason RansomFree: https://ransomfree.cybereason.com/
(此防毒會在你每個硬碟上自動生成隱藏誘餌資料夾請別刪除)
BitDefender Free: https://www.bitdefender.com/solutions/free.html
卡巴斯基: http://www.kaspersky.com.tw/
F-Secure: http://www.fservice.com.tw/trials.html
Emsisoft: https://www.emsisoft.com/en/software/internetsecurity/
Dr.web: https://download.drweb.com/?lng=en
防毒有機率誤判部分檔案為病毒,請手動修改檔案信任並還原。
安裝防毒之後,請更新至最新版本。
----------------------------------------------------------------------------------------------------
WannaKiki 解密工具
工具介紹
法國廠商 Quarkslab 研究人員 Adrien Guinet 發現,
Wannacry 使用 兩組質數來產生金鑰,
接著讓Windows 的 API 此用金鑰來進行 RSA 加密,
但是在產生金鑰的過程中,
Wannacry 會將用來產生金鑰的「質數」留存在電腦的記憶體中,
所以他透過從記憶體中挖掘這個金鑰的質數,
進而反推取得解密用的金鑰。
WannaKiki 使用條件
支援使用說明
工具下載: https://github.com/gentilkiwi/wanakiwi/releases
如果還沒升級最新版本,請直接更新。(未更新會有機率中毒)
2. 電腦如有安裝任何 防毒軟體,近期請盡量保持最新版本。
20款 防毒軟體 主動防禦 測試 :
https://www.mobile01.com/topicdetail.php?f=508&t=5150528
(防毒軟體 也會對於此次變種勒索病毒進行防護開發)
3. 下載安裝後如出現「此更新不適用於你的電腦」
建議檢查: 控制臺 > 解除安裝程式 > 檢查安裝的更新,裡面是否已安裝,
(W7) KB4012215 or (W8.1) KB4012216 or (XP / Vista / W8) KB4012598。
如沒安裝,那可能是W7版本過舊,請直接透過 Windows Update 更新。
開啟自動更新: 控制臺 > 系統及安全性 > Windows Update
> 檢查更新 (先按) > 變更設定 (後設) > 自動安裝更新 (定時)
----------------------------------------------------------------------------------------------------
Windows 漏洞 補丁載點
W7 (32bit)
http://download.windowsupdate.com/…/windows6.1-kb4012215-x8…
W7 (64bit)
http://download.windowsupdate.com/…/windows6.1-kb4012215-x6…
W8.1 (32bit)
http://download.windowsupdate.com/…/windows8.1-kb4012216-x8…
W8.1 (64bit)
http://download.windowsupdate.com/…/windows8.1-kb4012216-x6…
XP / Vista / W8 (32 / 64bit)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
注意此更新只支援正版Windows序號,盜版安裝後可能會出現破解失敗問題。
----------------------------------------------------------------------------------------------------
SMB 手動阻擋
W7 阻擋方法:
1. 按 Windows鍵 + R 輸入 regedit 按 確定
2. 找到 HKEY_LOCAL_MACHINE
> System > CurrentControlSet > Services > LanmanServer > Parameters
3. 在空白處按右鍵 > 新增 > DWORD(32位元)值
名稱輸入: SMB1 (不管 x86 / x64)
4. 對新增的 SMB1 右見 修改 數值資料: 0
5. 修改完成 重新開機
W8.1 阻擋方法:
1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、
選 Y (預設值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration /
Select EnableSMB1Protocol, EnableSMB2Protocol
來檢查是否設定成功
6. 設定完成 重新開機
XP 阻擋方法:
請關閉 網路連線內容 的 File and Printer Sharing for Microsoft Networks
1. 開始 > 設定 > 控制臺 > 網路連線
2. 選擇你的對外連線 (例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 設定完成 重新開機
----------------------------------------------------------------------------------------------------
關閉 連接阜445 功能
用於 (W7 / W8.1) 開始 > 控制臺 > Windows防火牆 > 進階設定,
彈出 進階安全性 視窗,左側選擇 輸入規則 後,點選右方的 新增規則。
步驟1: 選擇 連接阜,按下一步。
步驟2: 選擇 TCP ,按下一步。
步驟3: 選擇 特定本機連接阜 輸入: 445,按下一步。
步驟4: 選擇 封鎖連線,按下一步。
步驟5: 網路 私人 公開 全勾 ,按下一步。
步驟6: 名稱 與 描述 隨意取自行看得懂的,按完成。
注意: 本規則需要建立兩次,
在 步驟2 分別選擇 TCP / UDP 個建立一個,其他部份都一樣。
----------------------------------------------------------------------------------------------------
關閉 SMB 功能
用於 (W8.1) 開啟 程式與功能,並點選左邊的 開啟或關閉Windows功能,
接著找到 SMB1.0/CIFS檔案共用支援 的項目,取消勾選 後按 確定 即可。
以上所有方法不保證可完全阻擋,只是減少電腦被病毒感染的機率。
----------------------------------------------------------------------------------------------------
阻擋 WanaCrypt0r 2.0 防毒軟體
(專防勒索/不支援XP) Cybereason RansomFree: https://ransomfree.cybereason.com/
(此防毒會在你每個硬碟上自動生成隱藏誘餌資料夾請別刪除)
BitDefender Free: https://www.bitdefender.com/solutions/free.html
卡巴斯基: http://www.kaspersky.com.tw/
F-Secure: http://www.fservice.com.tw/trials.html
Emsisoft: https://www.emsisoft.com/en/software/internetsecurity/
Dr.web: https://download.drweb.com/?lng=en
防毒有機率誤判部分檔案為病毒,請手動修改檔案信任並還原。
安裝防毒之後,請更新至最新版本。
----------------------------------------------------------------------------------------------------
WannaKiki 解密工具
工具介紹
法國廠商 Quarkslab 研究人員 Adrien Guinet 發現,
Wannacry 使用 兩組質數來產生金鑰,
接著讓Windows 的 API 此用金鑰來進行 RSA 加密,
但是在產生金鑰的過程中,
Wannacry 會將用來產生金鑰的「質數」留存在電腦的記憶體中,
所以他透過從記憶體中挖掘這個金鑰的質數,
進而反推取得解密用的金鑰。
WannaKiki 使用條件
1.電腦不能重開機,因為重開機後,記憶體內所有的資料會被全部清除。
2.記憶體內的檔案不能被覆蓋,我們在電腦上每做一件事情,
都會使用記憶體來進行資料的快取,所以記憶體內的資料很容易被新的檔案給覆蓋掉。
支援使用說明
WannaKiki 目前已經確認在 W7、XP、Vista、2003、2008 上可以正常使用。
使用者要使用的話,可以從 Github 上下載他製作好的 WannaKiki 壓縮包,
解壓縮後執行裡面的「wanakiwi.exe」,接著你會看到一個 DOS 視窗,
它就會自動開使搜尋你記憶體內的質數。
如果有找到的話,WannaKiki 就會幫你進行解密的動作。
工具下載: https://github.com/gentilkiwi/wanakiwi/releases
----------------------------------------------------------------------------------------------------
手動 刪毒 救援
被 WannaCry 加密後僅能重灌,這是錯誤的概念。
WannaCry 運作方式 是將 檔案複製一份加密 後 移除原始檔案。
我們可以使用 WinPE 開機先將 病毒移除,在利用 Recuva 來把被刪除的資料救回。
救援前必須準備一個能裝的下你資料的 空硬碟 與 另一臺電腦。
沒被嚴重複寫,基本上資料都可以救回來70~80%。
第一步
先請直接「斷電」防止病毒加密擴大,
身邊有另一臺電腦或請朋友幫忙製作 WinPE 開機光碟。
Windows PE 軟體簡介
以 Windows 7 為基礎而產生的 Windows PE 系統。
無須安裝,便能夠直接以 CD/DVD 或其他儲存媒介直接開機。(俗稱 Live CD)
非常適合在 Windows 故障時,進行資料備份或緊急救援等動作。
詳細說明: http://www.techbang.com/posts/4851
下載程式: http://cpe1208.pixnet.net/blog/post/177138054
使用 WinPE 開機,將病毒先移除刪除 。
病毒分析 / 解除方法 : https://docs.google.com/document/d/1Ma...
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
第二步
使用 安全模式 進入染毒作業系統,
關閉全部服務與開機常駐,禁用系統還原。
第三步
插上你的空硬碟,安裝 Recuva 開始撈資料, 能撈多少就撈多少嘍。
Recuva Portable 軟體介紹
一般人刪除檔案的程序不外乎是將檔案丟到資源回收筒中,再將進行清理資源回收筒。
然而,許多人都在清理完資源回收筒後,才發現自己重要的檔案被自己的手殘給刪掉了。
這套軟體可以讓您尋找回刪除的檔案,但前題是該檔案所儲存的磁區不能被覆寫。
程式載點: https://www.inote.tw/recuva-review
如果不會操作的朋友,建議找訪間的資料救援公司,
並表示這顆硬碟遭加密,請依造我上面的流程操作。
----------------------------------------------------------------------------------------------------
手動 刪毒 救援
被 WannaCry 加密後僅能重灌,這是錯誤的概念。
WannaCry 運作方式 是將 檔案複製一份加密 後 移除原始檔案。
我們可以使用 WinPE 開機先將 病毒移除,在利用 Recuva 來把被刪除的資料救回。
救援前必須準備一個能裝的下你資料的 空硬碟 與 另一臺電腦。
沒被嚴重複寫,基本上資料都可以救回來70~80%。
第一步
先請直接「斷電」防止病毒加密擴大,
身邊有另一臺電腦或請朋友幫忙製作 WinPE 開機光碟。
Windows PE 軟體簡介
以 Windows 7 為基礎而產生的 Windows PE 系統。
無須安裝,便能夠直接以 CD/DVD 或其他儲存媒介直接開機。(俗稱 Live CD)
非常適合在 Windows 故障時,進行資料備份或緊急救援等動作。
詳細說明: http://www.techbang.com/posts/4851
下載程式: http://cpe1208.pixnet.net/blog/post/177138054
使用 WinPE 開機,將病毒先移除刪除 。
病毒分析 / 解除方法 : https://docs.google.com/document/d/1Ma...
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
第二步
使用 安全模式 進入染毒作業系統,
關閉全部服務與開機常駐,禁用系統還原。
第三步
插上你的空硬碟,安裝 Recuva 開始撈資料, 能撈多少就撈多少嘍。
Recuva Portable 軟體介紹
一般人刪除檔案的程序不外乎是將檔案丟到資源回收筒中,再將進行清理資源回收筒。
然而,許多人都在清理完資源回收筒後,才發現自己重要的檔案被自己的手殘給刪掉了。
這套軟體可以讓您尋找回刪除的檔案,但前題是該檔案所儲存的磁區不能被覆寫。
程式載點: https://www.inote.tw/recuva-review
如果不會操作的朋友,建議找訪間的資料救援公司,
並表示這顆硬碟遭加密,請依造我上面的流程操作。
----------------------------------------------------------------------------------------------------