全球多个 Windows 电脑中伏,台湾已被封为 “全球第二重灾区”,香港也一直有网友求救 !(根据最新数据,目前大马部分州属也传出有中招案例)
使用 Windows 的你跟着内文自救,不然你的珍贵相片、档案被加密后就惨了,请分享帮助别人功德无量。
【不按 FILE / 连结也中招】
相信很多读者都是聪明人,平常不会乱按 e-mail 连结或开启不明档桉,但这种 WannaCry 病毒并不需要点击、开启任何执行档,它利用了 Windows 的 SMB 漏洞于Port 445 进行攻击并于远端执行,让你防不胜放。
【为何全球同一时间中伏】
其实这个漏洞一早已被发现,不过很多旧版 Windows 用家未有更新修正档,中上 WannaCry 病毒也不知,从资料显示此病毒有潜伏期, 被设定 5 月 12 日是爆发日子。
因此由昨天病毒全球爆发,现时台湾成全球第二重灾区,香港受害者也急速上升中,在<这裡>可以实时看到此病毒全球覆盖。
最近 24 小时内已有 113,243 台 Windows 电脑及装置中招。
台湾中招点多得连地图也盖过了……
不少公共设施也中招。
【几乎全 Windows 版本会中伏】
这款 Wcry 病毒并不只针对阁下,在座全部版本的 Windows 都是受害者,当中包括 :
- Windows 10(1507,1511,1607)
- Windows 8 / 8.1
- Windows 7
- Windows Vista
- Win Server 2008、2008 R2、2012、2012 R2
- Windows RT
- Windows XP
【Win 10 自动更新者可逃过一劫】
其实此病毒未爆发前,Microsoft已于 3 月 14 日的更新档中修正,如果你是 Win 10 用家一早设定自动更新 Windows ,你也许不必担心。
【未收通知也可能中伏】
中伏后 Windows 会弹出死亡红色视窗通知你,并要求支付 Bitcoin (现价约 300 美金)来解锁。若名未看到红色视窗不代表你未中伏。可能是未完成加密所有档桉的加密。
此时你可以按 Ctrl+Atl+Del 呼叫程式管理员,看看有否异常的程式一直佔用 CPU 资源,而档桉管理员中开始出现附名 .WCRY 的档桉。
========================
【未中伏前解决方案】
Step 0 :
什么都不用说,先断网络进行备份!
星期一上班,我可以开电脑吗 ?
先切断网络,移除 lan 线 /关掉 wifi ,用你的方法停止电脑接上网络。开机后立即备份重要档桉,紧记别备份在本机或网络磁碟上。
(免责声明 : 修改 Windows 有风险请先备份,如因以下方法导致任何损失,本网恕不负责)
Step 1: 锁埠
透过路由器 / 防火牆封锁 139 及 445 埠。
A)路由器 :
B) Windows 防火牆:
如果你无法更改公司伺服器设定,可以设定 Windows 防火牆,安全的话可以考虑先移除 LAN 线 / 关闭 Wifi。
Step 1:
按 WIN + R 键 ,键入 firewall.cpl 按 enter
Step 1:
如果你 Firewall 未开启,请按「请用建议的设定」去开启。
Step 2:
如已开启了(绿色),请按左边进阶设定。
Step 3:
左侧按 输入规则 > 右侧按 新增规则。
Step 4 :
选择 通讯协定及连接埠,选连接埠。
Step 5 :
如下图选择 TCP , 特定本机连接埠选 445 ,139 ,下一步。
Step 6:
选择封锁连线,下一步。
Step 7:
套用所有规则,下一步。
Step 8 :
随意命名,完成。
Step 9:
重覆 Step 3 至 4 , 今次我们选择 UDP , 特定本机连接埠选 445 ,139 ,下一步。重覆 Step 6 至 8。
【WindowsXP 用家可参考这个方法】
改成阻档 TCP 及 UDP 445 , 139
[youtube_embed src=”https://www.youtube.com/watch?time_continue=1&v=iYb9eANzhYU”/]
Step 2 :
你应该快安装修正档 !
Windows 10
去 Windows 更新便可
Windows 8.1 64:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
Windows 8.1 32:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
Windows 7 64:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
Windows 7 32:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu
========================================
<官方修正档网址>
如以上方法失效,你可以…..
手动停止 Windows SMBv1 服务
如何你无法修改路由器设定,你可以通用系统管理员权限修改以下设定。
Windows 7/Sever 2008 / Vista 用家:
Step 1
以系统管理员登入,执行regedit
Step 2
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
找空白处按右键新增 DWORD key SMB1, 其数值为 0 (日后成功执行修正档的话,可把数值由 0 改回 1 )
Windows 8 或以上 :
Step 1
右按以管理员执行 CMD
Step 2
键入powershell (Enter)
set-ExecutionPolicy Unrestricted (Enter)
set-SmbServerConfiguration -EnableSMB1Protocol $false (Enter)
看到提示后选 Y
成功后重新开机便成功
(日后成功执行修正档的话,照以上方法,最后一次由 $false 改为 $true )
【为何我之前一直有更新,一样中伏 ?】
因为资料显示此病毒有潜伏期,设定为 5 月 12 附近的日子爆发 ! 因此有可能在你电脑自动更新前已中招潜服在内,以下图片显示就算你电脑无连网络,潜伏于电脑内的病毒照样爆发。
【中伏后解决方案 】
档案已被加密了怎算 ?
1) 修复档桉
由于加密的过程是这样的 :
1. 从原档产生新的加密档
2. 把原档删除
理论上,我们可以利用平时「undelete」的软件把删除的档桉救回来,只要那个区域未被新资料覆写上去就有机会救回。如发现你的硬碟已被感染,请即关机。把硬碟取出搬到「无毒」的电脑上进行修复,方法可以参考 <这裡>的「救 DATA 篇」,不过有心理准备,只有部份档桉可 100% 救回来。
2) WNcry@2ol7 非解锁密码
Twitter 疯传 WNcry@2ol7 是解锁密码 ,但其实只是病毒一部份既解压码,用来解压自己其中的 module继续攻击,有部份防毒软件扫瞄不到有密码的 zip 档,所以部份病毒会用法方法加密自己的文件。
3)付款不等于会收到解密
由于今次 BITCOIN 收款的地址是统一的,因此开发者无法证明支付者身份,任何人都可以冒认你跟病毒开发者说已付了帐,理论上会提供解密密码机会很低。话虽如此,Bitcoin 追踪资料显示直到现时为止已有 23 单个交易,开发者收取了4.26616859 BITCOIN (现价计算的话,总值 7,210 美元)。
4)勿乱安装不明来历的破解工具
Wanna Decrytor 暂时未有任何通用解密方法,可是中国网上已有很多所谓的破解工具,但其实档桉被加密后,那随机密码不可能用你自家电脑的运算力于短时间内破解,因此这类破解档很多时是木马程式,安装后找寻 PC 内银行或信用咭密码,让你受二次伤害。
【移除病毒步骤】
[youtube_embed src=”https://www.youtube.com/watch?v=uVLDIynuaL4″/]
(本文授权转载自UnwireHK)
更多Zing彩:
本文:
【WannaCry勒索病毒】Windows用户必看:最全的預防、刪除、自救方法!by unwireHK
更多精彩科技资讯,请留守 Zing Gadget 或 Facebook 、 Twitter 、Google+ 以及YouTube 。
