【我們為什麼挑選這篇文章】因為這波勒索是針對漏洞攻擊,而不是不亂點連結就不會中毒(當然還是不要亂點連結噢),所以急著備份,卻又擔心開機就中毒,最好的方法當然是確定無法上網後先備份再說!
本篇文章由台灣電腦網路危機處理暨協調中心 – TWCERT/CC 所提供的詳解,像是公司電腦這種內含重要的資訊的設備,還是先用手機看這篇文章還是一一照做吧。
另外,本篇最後的連結點選後就會直接下載,請看清楚再點噢!(責任編輯:陳君毅)
相信各位在整個周末都遭受到這一波 WanaCry 勒索病毒的消息轟炸,而當明天前往辦公室上班時是不是也會擔心自己的電腦變成一顆未爆彈,一開機就有可能感染勒索病毒,但不開機也沒辦法把裡面的資料取出。
別慌張,在這邊提供明天進到辦公室後,該如何處理自己辦公桌上的這顆未爆彈的步驟建議:
(如何預防資料被加密,及若遭加密後應如何處理之簡易流程請參考下方之圖 1 及圖 2。)
1. 確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉 Wifi 分享器電源或拔除 3/4G 無線網卡) 。
2. 將電腦開機並長按 F8 進到安全模式,或透過外接安全的系統進行開機。
(1) 將重要資料複製到外接式硬碟(備份完請記得將外接硬碟拔除!)。
(2) 若尚未安裝修補程式者,請依照作業系統版本安裝適合的修補程式,可連上網路下載修補程式(下載連結請參照第 7 點),或使用隨身碟把檔案移至電腦內。
(3) 斷網並重新開機進到一般模式後安裝修補檔。
3. 若電腦開機進入一般模式,出現疑似中勒索病毒現象(如桌面檔案出現異常無法打開),即刻拔除電源或關機(使用筆電者請亦將筆電電池移除),並確認電腦無法連上網路,使用有線網路者拔除網路線,使用無線網路者亦須確保無法連上網路(例如關閉 Wifi 分享器電源或拔除 3/4G 無線網卡)。
後續處置作法:
(1) 未被加密的重要資料備份:使用安全模式開機或透過外接安全的系統進行開機,將還尚未被加密的重要資料複製到外接式硬碟(被加密的檔案目前還尚未有任何解密方法)。
(2) 系統恢復: 將受駭電腦硬碟格式化後重灌至最新版官方作業系統。
製造業想轉型,一定要先換腦袋!5/24 中港台三地專家共同解密,要帶你了解人工智慧協助製造業轉型的最強案例! https://goo.gl/Wvkmfj
4. 若無中勒索病毒現象,即刻將重要資料備份,備份資料離線保管。 若要確認是否有感染,可搜尋磁碟中是否有 .wncry 附檔名檔案,若有或疑似已中 wanacrypt0r 2.0 病毒,續照步驟 3 方式處理;若沒有則可能尚未中毒 。
5. 若電腦中原無安裝防毒軟體,可下載微軟官方所提供之防毒軟體 Windows Defender,可針對系統中的惡意程式 WannaCryptor 提供偵測並清除。Windows Defender 下載位置連結。
6. 隨時更新修補程式及防毒軟體至最新版本,使用防火牆並關閉不需要之通訊埠及應用程式權限,以確保電腦安全無虞,不要因為一時方便開啟不必要的服務,而導致系統出現漏洞。另對防火牆及 IDS/IPS 等設定部份,建議設定可阻擋 WannaCry 所使用 MS17-010 漏洞之特徵或規則。
7. 針對此次漏洞不同作業系統版本所發布之修補程式(點選超連結就會直接下載)。
擔心跟不上全球企業數位轉型速度?專家:「先有整體策略思維,再談轉型才能成功。」整體策略如何制定?立即參與調查,撥開眼前迷霧!>>https://goo.gl/e4XdSO
——
(本文經 台灣電腦網路危機處理暨協調中心 – TWCERT/CC 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈在勒索病毒肆虐時上班第一天要做什麼?〉。首圖來源:wiki, CC licensed)
台灣電腦網路危機處理暨協調中心(TWCERT/CC)自民國 87 年 9 月成立,目前由國家中山科學研究院承接,在行政院資安處指導下運作,主導推動資安事件通報、國際資安組織間交流協調、教學資源提供及資安宣導等多項工作。
延伸閱讀
果核數位:appGuard 要為遊戲、銀行、支付 App 穿上最強悍的資安鋼鐵衣!
