訪客留言簿

星期一, 5月 15, 2017

【資安】勒索病毒軟體 WanaCrypt0r 2.0 或 WannaCry 漏洞更新包(Microsoft 網站直連 MS17-010 安全修正 Windows XP Vista 2K8 7 8 8.1 10 適用)

前言

這次是 Windows 的網路芳鄰會用到的 SMBv1(通訊埠 445)服務有漏洞,影響範圍是 Windows 2000 以後的所有 Windows 版本,只要你的漏洞沒補上,又是使用實體 IP 直接上網,就有機會被攻擊程式掃瞄後鑽漏洞進來,安裝任何惡意程式。

若你需要一次處理好 WinXP, Win2003, Vista, Win2008, Win8 的數台不同電腦,可以直接抓我打包好的 KB4012598 整合包(zip),解壓縮自行找適合你版本的來安裝。

(※註:Windows 2000 不在這次的安全性支援中,請想辦法升級作業系統,或自行關閉 port 445 或躲在無線 AP 後面,或裝 BitDefender 擋掉)

Microsoft 該漏洞的相關說明:

Win10

Win10 這次的 smb1 漏洞剛好是記憶體無法寫入的部分,所以放著更新到 1703 版以上就好。

Win8.1 / Windows Server 2008 R2

Win8.1 建議安裝到五月安全性彙總套件 KB4019215,基本上每月彙總套件有裝到最新的就沒事,三月的 KB4012213 也會包在五月裡。

Win8

KB4012598 是 5/13 出來的 Win8 緊急安全性更新檔,如果跑自動更新抓不到,就從下面直連抓下來安裝。

Win7 SP1

Win7 建議安裝到五月安全性彙總套件 KB4019264,基本上每月彙總套件有裝到最新的就沒事,三月的 KB4012215 也會包在五月裡。

Vista / Win2K8

KB4012598 是 5/13 出來的 Vista / Windows Server 2008 緊急安全性更新檔,如果跑自動更新抓不到,就從下面直連抓下來安裝。

WinXP SP3 / Win2K3 SP2

KB4012598 是 5/13 出來的 WinXP / Windows Server 2003 緊急安全性更新檔,如果跑自動更新抓不到,就從下面直連抓下來安裝。

另外 WinXP 要 x86 版才有 SP3,x64 版只有到 SP2 而已。

中文版
英文版

參考資料

星期三, 5月 10, 2017

[資安通知] 勒索病毒軟體總複習(2017年5月版)

前言

因為實在是防不勝防,道高一尺魔高一丈,舊文章一直更新也更新不完,所以寫篇複習文章,讓大家知道要怎麼預防跟處理。

舊文:[資安通知] 預防檔案加密勒索病毒 TorrentLocker 及 Crypt0L0cker

基本觀念

  • 任何能執行程式的電子系統都會中勒索病毒(視該系統的使用人數)

  • 勒索病毒執行的是不會危害系統的動作(單純是在加密非系統檔案)

  • 主要的感染途徑為系統漏洞及允許執行惡意程式(也就是除非你系統等的沒更新否則一定需要你同意才能安裝病毒程式)

  • 勒索病毒是用開放源碼社群的方式在持續發展的(加密方式公開但是無法輕易逆向解密)

  • 對被加密檔案用檔案救援軟體目前已經不太有效了(勒索病毒的刪除檔案方式有改進成無法輕易救回)

  • 防毒軟體跟解密程式只能針對已被定義跟破解的模式來處理(因為是對系統無害的行為所以只能定義無法擋下)

預防方式

  • 作業系統開啟自動更新及安裝更新檔(就算要手動更新,也至少把安全性更新類型的全裝上)

  • 移除 Flash Player 並且不要再安裝(如果你一定要用,就開 Google Chrome 瀏覽器來用)

  • 離線備份(指把檔案複製到另一個平時不會連接的儲存裝置上,Windows 7 以上都可以指定其他顆硬碟來備份,或用 EaseUS Todo Backup FREE 整顆碟對碟拷貝)

  • 郵件軟體改用 Gmail 當主要的收件方式(有較強大的惡意信件掃瞄能力,也能用 POP3 收取其他郵件帳號的信件)

  • 真的覺得很重要但不常開啟的東西,就用 7-Zip 加密檔名包裝成一個 7z 檔,勒索病毒就比較不會去動這類壓縮檔。(但還是會隨病毒改版而失效)

  • 使用有版本管理功能的雲端硬碟(如 Google DriveDropbox

  • 要上可疑網站、開啟可疑檔案時,開啟防毒軟體的沙盒模式,或是開啟虛擬機器(如 VMware Player)來開啟。

中毒處理

  • 重灌作業系統(因為無法知道到底哪邊還潛藏病毒)

  • 用 EaseUS 救援光碟或隨身碟重開機,進 EaseUS 的作業環境,碟對碟拷貝,還原到舊的備份狀態。

  • 真的考慮要付款的話,請先把防毒軟體給移除,不然勒索病毒的解鎖程式會被防毒軟體刪掉,這樣子付款也救不回檔案。

參考資料

 

本站著作(不包含圖片、影音以及回應留言)係採用 Creative Commons 姓名標示-非商業性-相同方式分享 2.5 台灣 (中華民國) 授權條款授權