全球已有許多 Windows 用戶遭受 WannaCry 勒索病毒攻擊，不分產業/個人用戶/企業用戶都是可能被攻擊的目標。根據微軟的安全報告指出，此次的勒索軟體是屬於 WannaCryptor 病毒的其中一隻變種，而微軟也已緊急針對此次事件強烈建議用戶務必立即進行安全性更新，以免受到勒索病毒的攻擊與威脅。

[安全更新檔連結如下] 

• Windows Server 2003 SP2 x64
• Windows Server 2003SP2 x86,
• Windows XPSP2 x64,
• Windows XPSP3 x86,
• Windows XP Embedded SP3 x86,Windows 8 x86,
• Windows 8 x64

Microsoft 資訊安全公告：https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx

MSRC blog – Customer Guidance for WannaCrypt Attacks

WannaCry 全球擴散情形：

面對本次的攻擊，Cloudmax 匯智整理出以下幾種方法，您可以透過以下方式進行防範：

一、若您的電腦從上週五開始都處於關機狀態：

1. 請先拔掉網路線後再開機。
2. 若您電腦內檔案尚未備份，請先進行備份檔案作業。
3. 進行防火牆設定，封鎖 TCP 和 UDP 445通訊埠，以暫停檔案共享功能。
   • TCP / UDP 135、137、138、139 亦屬於檔案共享通訊埠，保險起見亦可一併封鎖。（如果是在 AD 網域之下，請通知您的 MIS 做封鎖）
4. 封鎖設定完畢後，即可接上網路線，下載與更新修補程式。（修補程式請參考文章開頭提供之下載連結）
5. 將防毒軟體病毒碼更新至最新。
6. 啟用 Microsoft Update 自動更新，並手動完成所有安全性更新的更新。(適用所有的系統，如 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016)

二、若您的電腦已處於開機狀態，但尚未出現中毒情況：

1. 安全起見仍建議請先拔掉網路線。
2. 若您電腦內檔案尚未備份，請先進行備份檔案作業。
3. 進行防火牆設定，封鎖 TCP 和 UDP 445 通訊埠，以暫停檔案共享功能。
   • TCP / UDP 135、137、138、139 亦屬於檔案共享通訊埠，保險起見亦可一併封鎖。
4. 封鎖設定完畢後，即可接上網路線，下載與更新修補程式。（修補程式請參考文章開頭提供之下載連結）
5. 將防毒軟體病毒碼更新至最新。
6. 啟用Microsoft Update自動更新，並手動完成所有安全性更新的更新。(適用所有的系統，如Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016)

封鎖TCP和UDP 445通訊埠及其他檔案共享通訊埠步驟說明：

1. 1. 進入「控制台」-> 選擇「Windows防火牆」 -> 「進階設定」

1. 1. 點選「輸入規則」 -> 可在右方看到「新增規則」，點選後即可出現設定規則畫面：

1. 1. 於下圖中點選「連接埠」 -> 下一步

1. 1. 規則選擇「 TCP」 -> 「特定本機連接埠」，並輸入「445」 -> 下一步

1. 1. 在執行動作頁面選擇「封鎖」 -> 下一步

1. 1. 於設定檔頁面預設套用此規則部份會全部打勾（若沒勾到的請直接打勾） -> 下一步

1. 1. 於名稱頁面幫此規則命名（以自己可以辨識的名稱即可），輸入完後點選完成即可。

1. 1. 設定完成後即可看到下圖畫面，此規則已設定完成。

1. 1. UDP 的設定方式與 TCP 相同，僅需在第一的步驟改為選擇「UDP」即可。

三、若你的電腦疑似中毒：

1. 1. 1. 立即切斷網路連線，並移除連接至電腦的儲存設備（硬碟、外接硬碟、USB）。
      2. 停止所有與本台電腦對連的電腦、檔案伺服器，避免病毒擴散。
      3. 評估資料損失程度，通報公司MIS或電信警察。
      4. 不建議繳付贖金取回檔案。
      5. 電腦系統重灌前勿再次開啟，並且重灌時需徹底格式化。

Cloudmax 匯智資安官表示，過去常見的勒索病攻擊手法都是採用釣魚郵件方式進行，手法如下：

而本次的攻擊與過去不同的是，駭客直接依據未做修補的 Windows系統漏洞進行攻擊，即TCP及UDP 445 通訊埠，因此，就算您沒有亂點不明來源連結或是登入不明網站，都有可能受到勒索攻擊，導致電腦資料被加密上鎖。此波加密副檔類型共達 176 種，包括 Microsoft Office、資料庫、壓縮檔、多媒體檔案和各種程式語言常用的副檔名。

只要被攻擊的電腦，電腦中的檔案、文件、包含有開啟檔案共享都會陸續被加密為無法開啟的檔案，並於桌面呈現「Ooops, your important files are encrypted.」，於下圖示畫面中將會要求使用者支付高額費用以取回檔案。

一但中了勒索病毒，在目前是不太可能破解成功的，因此，在勒索病毒攻擊猖狂的現在，無論是企業或是個人用戶，都應該替自已的重要資料做好安全的保護，務必謹記以下幾個原則：

1. 1. 1. 勿隨意開啟來歷不明的信件、附檔、信件連結，及隨意點擊來路不明的網站。
         • 避免因人為疏失造成的病毒擴散災害，企業可選擇導入郵件無害化解決方案，當郵件進入員工信箱前，先統一進入一台郵件過濾伺服器，預先將郵件內的連結及附檔預先過濾，必免員工有機會點擊到有問題的連結。
      2. 隨時更新電腦系統（Windows update）
         • 若您是中大型企業：企業可導入微軟WSUS自動更新方案，整批更新企業內部電腦。
         • 若您是中小型企業：可透過群組原則，設定所有的用戶端/伺服器電腦自動更新Microsoft Update。
      3. 定期更新病毒碼，勿安裝來源不明的軟體。
         • 若您是Windows 7，可免費下載安裝Microsoft Security Essential防毒軟體，Windows 8之後內建。
      4. 備份才是唯一真正能保障資料安全不遺失的方法，隨時做好備份機制，並採用自動化、異地備份模式才能真正有保障。
         • 若您是企業用戶：可以選擇採用異地備份服務，將企業資料備份至異地機房中，並採自動差異化備份機制，當企業資料不幸遺失，可快速從異地機房將資料取回。
         • 若您是個人用戶：若您是個人工作室或個人接案工作者，一樣可以選擇採用企業使用的異地備份服務，而若您是採用外接設備自行備份，請務必記得在備份完成後將設備與電腦連線切段，否則受到勒索攻擊時將會連同感染。
      5. 確保相互開啟共享檔案功能之電腦也有做到安全防護，以免連同受到攻擊。
      6. 當發現電腦情況異常時，立即斷網並通報 MIS，請 MIS 協助評估電腦是否遭受攻擊，並進行資料救援作業。

延伸閱讀：

你無法再忽視 勒索病毒 的嚴重性了

沒看這六大指標，小心選錯企業的備份機制

淺談五件能預防 詐騙郵件 與 勒索病毒 的事

圖片來源：https://intel.malwaretech.com/botnet/wcrypt