創作內容

24 GP

WanaCrypt0r 2.0 防 解 救 一次教你。

作者:Omen│2017-05-13 14:49:12│贊助:104│人氣:11561
WanaCrypt0r 2.0 (勒索病毒)
(5/12 爆發) 大規模攻擊未更新 Windows漏洞系統 !

這一批 勒索病毒 是針對 Windws SMB 裡的 445 port
漏洞 (代號 MS17-010) 來直接進行攻擊。

簡單來說就是,你只要連接網路,就有機率中毒。
(5/19 更新) 此篇會教你目前已知的所有 方法 !

感謝防範方法提供人
Wang Dang / paul40807 / imasa
/ KevinYu0504 / 阿達
----------------------------------------------------------------------------------------------------

感染症狀

當感染後電腦內所有資料都會被加密,所有檔案都會被加密成.WNCRY檔案,
畫面上會跳出紅色視窗要求支付價值300美元比特幣當成贖金,
如果在三天內無支付,就會加倍贖金金額,
超過七天後就會自動刪除解密的金鑰,導致檔案無法透過解密金鑰復原。

---------------------------------------------------------------------------------------------------

相關更新說明


1. 目前這已知最新版 W10 (1703 版) 不會遭受此病毒攻擊。
如果還沒升級最新版本,請直接更新。(未更新會有機率中毒)

2. 電腦如有安裝任何 防毒軟體,近期請盡量保持最新版本。
20款 防毒軟體 主動防禦 測試 :
https://www.mobile01.com/topicdetail.php?f=508&t=5150528
(防毒軟體 也會對於此次變種勒索病毒進行防護開發)

3. 下載安裝後如出現「此更新不適用於你的電腦」
建議檢查:  控制台 > 解除安裝程式 > 檢查安裝的更新,裡面是否已安裝,
(W7) KB4012215 or (W8.1) KB4012216 or (XP / Vista / W8) KB4012598

如沒安裝,那可能是W7版本過舊,請直接透過 Windows Update 更新。

開啟自動更新: 控制台 > 系統及安全性 > Windows Update
> 檢查更新 (先按) > 變更設定 (後設) > 自動安裝更新 (定時)
----------------------------------------------------------------------------------------------------

Windows 漏洞 補丁載點

W7 (32bit)
http://download.windowsupdate.com/…/windows6.1-kb4012215-x8…
W7 (64bit)
http://download.windowsupdate.com/…/windows6.1-kb4012215-x6…

W8.1  (32bit)
http://download.windowsupdate.com/…/windows8.1-kb4012216-x8…
W8.1  (64bit)
http://download.windowsupdate.com/…/windows8.1-kb4012216-x6…

XP / Vista / W8 (32 / 64bit)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

注意此更新只支援正版Windows序號,盜版安裝後可能會出現破解失敗問題。
----------------------------------------------------------------------------------------------------

SMB
手動阻擋


W7 阻擋方法:

1. 按 Windows鍵 + R  輸入 regedit 按 確定
2. 找到 HKEY_LOCAL_MACHINE
> System > CurrentControlSet > Services > LanmanServer > Parameters
3. 在空白處按右鍵 > 新增 > DWORD(32位元)值
名稱輸入: SMB1 (不管 x86 / x64)
4. 對新增的 SMB1 右見 修改 數值資料: 0
5. 修改完成 重新開機

W8.1
阻擋方法:
1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、
Y (預設值、直接按Enter也可)
5  可以使用 get-SmbServerConfiguration /
Select EnableSMB1Protocol, EnableSMB2Protocol
來檢查是否設定成功
6. 設定完成 重新開機

XP 阻擋方法:
請關閉 網路連線內容 的 File and Printer Sharing for Microsoft Networks
1. 開始 > 設定 > 控制台 > 網路連線
2. 選擇你的對外連線 (例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 設定完成 重新開機
----------------------------------------------------------------------------------------------------

關閉 連接阜445 功能

用於 (W7 / W8.1)  開始 > 控制台 > Windows防火牆 > 進階設定,
彈出 進階安全性 視窗,左側選擇 輸入規則 後,點選右方的 新增規則

步驟1:  選擇 連接阜,按下一步。
步驟2:  選擇 TCP ,按下一步。
步驟3:  選擇 特定本機連接阜 輸入: 445,按下一步。
步驟4: 選擇 封鎖連線,按下一步。
步驟5: 網路 私人 公開 全勾 ,按下一步。
步驟6: 名稱 與 描述 隨意取自行看得懂的,按完成。
注意: 本規則需要建立兩次
在 步驟2 分別選擇 TCP / UDP 個建立一個,其他部份都一樣。
----------------------------------------------------------------------------------------------------

關閉 SMB 功能

用於 (W8.1) 開啟 程式與功能,並點選左邊的 開啟或關閉Windows功能
接著找到 SMB1.0/CIFS檔案共用支援 的項目,取消勾選 後按 確定 即可。

以上所有方法不保證可完全阻擋,只是減少電腦被病毒感染的機率。
----------------------------------------------------------------------------------------------------

阻擋 WanaCrypt0r 2.0 防毒軟體

(專防勒索/不支援XP) Cybereason RansomFree: https://ransomfree.cybereason.com/
(
此防毒會在你每個硬碟上自動生成隱藏誘餌資料夾請別刪除)

BitDefender Free: https://www.bitdefender.com/solutions/free.html
卡巴斯基: http://www.kaspersky.com.tw/
F-Secure: http://www.fservice.com.tw/trials.html
Emsisoft: https://www.emsisoft.com/en/software/internetsecurity/
Dr.web: https://download.drweb.com/?lng=en

防毒有機率誤判部分檔案為病毒,請手動修改檔案信任並還原。
安裝防毒之後,請更新至最新版本。

----------------------------------------------------------------------------------------------------

WannaKiki 解密工具

工具介紹
法國廠商 Quarkslab 研究人員 Adrien Guinet 發現,
Wannacry 使用 兩組質數來產生金鑰,
接著讓Windows 的 API 此用金鑰來進行 RSA 加密,
但是在產生金鑰的過程中,
Wannacry 會將用來產生金鑰的「質數」留存在電腦的記憶體中,
所以他透過從記憶體中挖掘這個金鑰的質數,
進而反推取得解密用的金鑰。

WannaKiki 使用條件
1.電腦不能重開機,因為重開機後,記憶體內所有的資料會被全部清除。
2.記憶體內的檔案不能被覆蓋,我們在電腦上每做一件事情,
都會使用記憶體來進行資料的快取,所以記憶體內的資料很容易被新的檔案給覆蓋掉。

支援使用說明
WannaKiki 目前已經確認在 W7、XP、Vista、2003、2008 上可以正常使用。
使用者要使用的話,可以從 Github 上下載他製作好的 WannaKiki 壓縮包,
解壓縮後執行裡面的「wanakiwi.exe」,接著你會看到一個 DOS 視窗,
它就會自動開使搜尋你記憶體內的質數。
如果有找到的話,WannaKiki 就會幫你進行解密的動作。

工具下載: https://github.com/gentilkiwi/wanakiwi/releases
----------------------------------------------------------------------------------------------------

手動 刪毒 救援

被 WannaCry 加密後僅能重灌,這是錯誤的概念。
WannaCry 運作方式 是將 檔案複製一份加密 後 移除原始檔案。
我們可以使用 WinPE 開機先將 病毒移除,在利用 Recuva 來把被刪除的資料救回。
救援前必須準備一個能裝的下你資料的 空硬碟 與 另一台電腦。
沒被嚴重複寫,基本上資料都可以救回來70~80%。

第一步
先請直接「斷電」防止病毒加密擴大,
身邊有另一台電腦或請朋友幫忙製作 WinPE 開機光碟。

Windows PE 軟體簡介
以 Windows 7 為基礎而產生的 Windows PE 系統。
無須安裝,便能夠直接以 CD/DVD 或其他儲存媒介直接開機。(俗稱 Live CD)
非常適合在 Windows 故障時,進行資料備份或緊急救援等動作。
詳細說明: http://www.techbang.com/posts/4851
下載程式: http://cpe1208.pixnet.net/blog/post/177138054

使用 WinPE 開機,將病毒先移除刪除 。

病毒分析 / 解除方法 : https://docs.google.com/document/d/1Ma...

(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor

病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)

第二步
使用 安全模式 進入染毒作業系統,
關閉全部服務與開機常駐,禁用系統還原。

第三步
插上你的空硬碟,安裝 Recuva 開始撈資料, 能撈多少就撈多少嘍。

Recuva Portable 軟體介紹
一般人刪除檔案的程序不外乎是將檔案丟到資源回收筒中,再將進行清理資源回收筒。
然而,許多人都在清理完資源回收筒後,才發現自己重要的檔案被自己的手殘給刪掉了。
這套軟體可以讓您尋找回刪除的檔案,但前題是該檔案所儲存的磁區不能被覆寫。
程式載點: https://www.inote.tw/recuva-review

如果不會操作的朋友,建議找訪間的資料救援公司,
並表示這顆硬碟遭加密,請依造我上面的流程操作。
----------------------------------------------------------------------------------------------------

引用網址:https://home.gamer.com.tw/TrackBack.php?sn=3574902
All rights reserved. 版權所有,保留一切權利

相關創作

留言共 13 篇留言

點子-庫洛米庫洛米
感謝資訊

05-13 17:17

點子-庫洛米庫洛米
因為我現在用的是手機,請回個什麼都行,讓我開電腦後靠通知連到這,謝謝

05-13 17:22

三月雪
有用

05-13 19:07

四月的魚
推推

05-14 00:17

Omen
(情報) 據說一名為英國網絡安全研究人員的Twitter用戶 @malwaretechblog,
發現近來攻擊全球的勒索軟體"WanaCrypt0r 2.0"(WannaCry)
內部有一無意義網址(“kill switch”)。
勒索軟體會定期檢查網址是否運作,如果有回應就會停止散播
@malwaretechblog立刻花了10.69美金買下這個網址,
故WannaCry勒索軟體的全球傳播已經停止

05-14 03:59

Omen
駭客好像已經修正此問題開始第二波攻擊了...05-14 09:41
Omen
第二波免疫註冊了....05-14 20:36
期待
請問已經有更新過了 裡面有KB4012215,還要另外再補丁載點或手動阻擋攻擊設定嗎

05-14 10:36

Omen
最好都做一下~05-14 16:32
呱仔
不好意思
請問一下為什麼我的w10版本是1607
然後按檢查更新他說醉心了

05-14 12:12

楓約
Q2:我是Windows 10 1507,1511,1607的使用者 有需要升級到1703嗎
A:不用因為這次的事件搶著升級1703 因為沒差 1607 1511 1507都已經在3/14收到更新了
如果沒有從regedit關閉Update Server的話 理論上都已經被愛的更新了
當然 1703 一開始就已經修復這個漏洞 有強迫症的話可能覺得比較安全

有疑問可以看這篇
https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html
內容更加詳細有XP~10的詳述

05-14 14:16

哈魯
家中兩台win7都已經更新到最新的安全性更新
還需要關閉smb跟445嗎?

05-14 20:02

Omen
最好是都做一下,多一層防護。05-14 20:21
Omen
看網上被一個 實況組 帶起 伊莉 會傳染這次勒索病毒的消息。
在這聲明: 這次 WanaCrypt0r 2.0 的攻擊跟 伊莉論壇 毫無關連喔 !
請不要在黑 伊莉 了 ~ ( 伊莉病毒事件已經修復很久了。
這次是只要未 更新 Windws 漏洞 連上網路 都有機率中獎。

05-14 20:19

Omen
目前有傳言突變3.0已開始感染。05-16 09:53
奇門遁甲
謝謝分享

05-17 11:42

嘉作
用隨機原裝穩死的就乖乖更新..不要亂下載或擅自變更安全警告..(雖然保證一堆迷版無法玩..但也保證你的電腦出事微軟要100%負責...(官方:請洽詢軟體工程師..搭飛機去美國矽谷微軟總部然後找哪個工程師啊..?)

05-17 20:19


推!

05-19 19:16

我要留言提醒:您尚未登入,請先登入再留言

24喜歡★eee90435 可決定是否刪除您的留言,請勿發表違反站規文字。

前一篇:想表達一下對於 谷阿莫 ... 後一篇:Petya 病毒 防範方...

訂閱私訊

作品資料夾

paulpaul7我回來了
我回來了看更多我要大聲說昨天13:20


face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】