【WannaCry勒索病毒】Windows用户必看:最全的預防、刪除、自救方法!by unwireHK

0
wcry2

全球多个 Windows 电脑中伏,台湾已被封为 “全球第二重灾区”,香港也一直有网友求救 !(根据最新数据,目前大马部分州属也传出有中招案例)

使用 Windows 的你跟着内文自救,不然你的珍贵相片、档案被加密后就惨了,请分享帮助别人功德无量。

 

ce481976b91c467c6b5874961372bdb5

【不按 FILE / 连结也中招】

相信很多读者都是聪明人,平常不会乱按 e-mail 连结或开启不明档桉,但这种 WannaCry 病毒并不需要点击、开启任何执行档,它利用了 Windows 的 SMB 漏洞于Port 445 进行攻击并于远端执行,让你防不胜放。

 

【为何全球同一时间中伏】

其实这个漏洞一早已被发现,不过很多旧版 Windows 用家未有更新修正档,中上 WannaCry 病毒也不知,从资料显示此病毒有潜伏期, 被设定 5 月 12 日是爆发日子。

因此由昨天病毒全球爆发,现时台湾成全球第二重灾区,香港受害者也急速上升中,在<这裡>可以实时看到此病毒全球覆盖。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%883.26.30

最近 24 小时内已有 113,243 台 Windows 电脑及装置中招。

 

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%883.24.10

台湾中招点多得连地图也盖过了……

 

virus

不少公共设施也中招。

 

【几乎全 Windows 版本会中伏】

这款 Wcry 病毒并不只针对阁下,在座全部版本的 Windows 都是受害者,当中包括 :

  • Windows 10(1507,1511,1607)
  • Windows 8 / 8.1
  • Windows 7
  • Windows Vista
  • Win Server 2008、2008 R2、2012、2012 R2
  • Windows RT
  • Windows XP

【Win 10 自动更新者可逃过一劫】

其实此病毒未爆发前,Microsoft已于  3 月 14  日的更新档中修正,如果你是 Win 10 用家一早设定自动更新 Windows ,你也许不必担心。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%883.15.25

 

【未收通知也可能中伏】

中伏后 Windows 会弹出死亡红色视窗通知你,并要求支付 Bitcoin (现价约 300 美金)来解锁。若名未看到红色视窗不代表你未中伏。可能是未完成加密所有档桉的加密。

此时你可以按 Ctrl+Atl+Del 呼叫程式管理员,看看有否异常的程式一直佔用 CPU 资源,而档桉管理员中开始出现附名 .WCRY 的档桉。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%884.06.39

========================

 

【未中伏前解决方案】

Step 0 :

什么都不用说,先断网络进行备份!
星期一上班,我可以开电脑吗 ?

先切断网络,移除 lan 线 /关掉 wifi ,用你的方法停止电脑接上网络。开机后立即备份重要档桉,紧记别备份在本机或网络磁碟上。

(免责声明 : 修改 Windows 有风险请先备份,如因以下方法导致任何损失,本网恕不负责)

Step 1: 锁埠

透过路由器 / 防火牆封锁 139 及 445 埠。

A)路由器 :

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%883.08.20

B) Windows 防火牆:

如果你无法更改公司伺服器设定,可以设定 Windows 防火牆,安全的话可以考虑先移除 LAN 线 / 关闭 Wifi。

Step 1:

按 WIN + R 键 ,键入 firewall.cpl 按 enter

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%888.01.16

Step 1:

如果你 Firewall 未开启,请按「请用建议的设定」去开启。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%888.06.01

Step 2:

如已开启了(绿色),请按左边进阶设定。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.23.31

 

Step 3:

左侧按 输入规则 > 右侧按 新增规则。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.25.43

 

Step 4 :

选择 通讯协定及连接埠,选连接埠。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.32.33

 

Step 5 :

如下图选择 TCP , 特定本机连接埠选 445 ,139 ,下一步。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.33.24

 

Step 6:

选择封锁连线,下一步。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.33.44

 

Step 7:

套用所有规则,下一步。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.33.54

 

Step 8 :

随意命名,完成。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%886.34.21

 

Step 9:

重覆 Step 3 至 4 , 今次我们选择 UDP , 特定本机连接埠选 445 ,139 ,下一步。重覆 Step 6 至 8。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 14 %E4%B8%8B%E5%8D%888.29.05

 

【WindowsXP 用家可参考这个方法】

改成阻档 TCP 及 UDP 445 , 139

 

Step 2 :

你应该快安装修正档 !

Windows 10

去 Windows 更新便可

Windows 8.1 64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

Windows 8.1 32:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

Windows 7 64:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu

Windows 7 32:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu

========================================

 

<官方修正档网址>

如以上方法失效,你可以…..

手动停止 Windows SMBv1 服务
如何你无法修改路由器设定,你可以通用系统管理员权限修改以下设定。

 

Windows 7/Sever 2008 / Vista 用家:

Step 1

以系统管理员登入,执行regedit

Step 2

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
找空白处按右键新增 DWORD key SMB1, 其数值为 0 (日后成功执行修正档的话,可把数值由 0 改回 1 )

unwire01

unwire02

 

Windows 8 或以上 :

Step 1

右按以管理员执行 CMD

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%882.52.21

Step 2

键入powershell (Enter)

set-ExecutionPolicy Unrestricted (Enter)

set-SmbServerConfiguration -EnableSMB1Protocol $false (Enter)

看到提示后选 Y

成功后重新开机便成功

(日后成功执行修正档的话,照以上方法,最后一次由 $false 改为 $true )

unwire01 1

 

【为何我之前一直有更新,一样中伏 ?】

因为资料显示此病毒有潜伏期,设定为 5 月 12 附近的日子爆发 ! 因此有可能在你电脑自动更新前已中招潜服在内,以下图片显示就算你电脑无连网络,潜伏于电脑内的病毒照样爆发。

18452670 10156256795858228 1781720489 o 1

【中伏后解决方案 】

档案已被加密了怎算 ?

1) 修复档桉
由于加密的过程是这样的 :

1. 从原档产生新的加密档

2. 把原档删除

理论上,我们可以利用平时「undelete」的软件把删除的档桉救回来,只要那个区域未被新资料覆写上去就有机会救回。如发现你的硬碟已被感染,请即关机。把硬碟取出搬到「无毒」的电脑上进行修复,方法可以参考 <这裡>的「救 DATA 篇」,不过有心理准备,只有部份档桉可 100% 救回来。

2) WNcry@2ol7 非解锁密码
Twitter 疯传 WNcry@2ol7 是解锁密码 ,但其实只是病毒一部份既解压码,用来解压自己其中的 module继续攻击,有部份防毒软件扫瞄不到有密码的 zip 档,所以部份病毒会用法方法加密自己的文件。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%887.17.52

 

3)付款不等于会收到解密
由于今次 BITCOIN 收款的地址是统一的,因此开发者无法证明支付者身份,任何人都可以冒认你跟病毒开发者说已付了帐,理论上会提供解密密码机会很低。话虽如此,Bitcoin 追踪资料显示直到现时为止已有 23 单个交易,开发者收取了4.26616859 BITCOIN (现价计算的话,总值 7,210 美元)。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%885.02.23

 

4)勿乱安装不明来历的破解工具
Wanna Decrytor 暂时未有任何通用解密方法,可是中国网上已有很多所谓的破解工具,但其实档桉被加密后,那随机密码不可能用你自家电脑的运算力于短时间内破解,因此这类破解档很多时是木马程式,安装后找寻 PC 内银行或信用咭密码,让你受二次伤害。

%E8%9E%A2%E5%B9%95%E5%BF%AB%E7%85%A7 2017 05 13 %E4%B8%8B%E5%8D%883.41.33

 

【移除病毒步骤】

 (本文授权转载自UnwireHK)

 

 

更多Zing彩:

本文:

【WannaCry勒索病毒】Windows用户必看:最全的預防、刪除、自救方法!by unwireHK

更多精彩科技资讯,请留守 Zing Gadget 或 FacebookTwitterGoogle+ 以及YouTube

Source :
wannacry

About author

kar yan

即使活在黑洞,我也要挥着荧光棒。

订阅
通知
guest

0 Comments
内联反馈
查看所有评论
0
希望听到您的想法,请评论x