勒索病毒最新變種版本現身？ 中毒怕資料被鎖 資策會教應變 3 招

勒索軟體 WannaCry 橫掃全球，已在全球約150個國家爆發，此次影響層面相當廣大。最新消息傳出 ，WannaCry 已開始出現最新進化的變種 WannaCry 2.0 版、3.0版。

台灣近日已陸續傳出部分災情，為避免爆發大量中毒事件，資策會資安所呼籲民眾，務必確實進行作業系統更新！建議民眾可檢查個人電腦，是否已更新至微軟在20170314釋出的三月份更新版本。同時提醒 Windows 7以上的用戶，隨時更新作業系統和軟體，透過「隨時保持最新安全的更新」，降低病毒感染的威脅。

針對此次勒索病毒事件，資策會資安所組長毛敬豪表示，由於這波是由國際網路駭客經由勒索軟體發起的網路主動攻擊，主要是透過作業系統的漏洞感染，相對以往來說更難以預防。

資安所組長毛敬豪指出，微軟已在 3 月發佈了伺服器安全性更新，以修復相關安全性漏洞。但從目前網上所曝光的災情來看，估計仍有不少機構及個人用戶未定期安裝 Windows 系統更新的習慣。

資策會提醒民眾， 若電腦作業系統為 Windows 7 以上的用戶，建議作業系統務必隨時保持在最新更新狀態，電腦資料備份是最重要也是最根本的解決之道，建議備份到外部用的儲存空間、或是雲端硬碟上，以降低遭攻擊風險。此外，平時使用電腦時，也要進行定期更新，安裝防毒軟體也是有一定幫助的。

要是真的萬一不小心電腦還是中鏢遭勒索，到底該怎麼辦？
資策會指出，儘量不要點選任何來路不明的連結，或開啟任何可疑的附件檔案。若不幸遭勒索病毒攻擊，依使用情境當下，資策會提出3招自保應變對策：

1.一旦跳出中毒畫面時：建議當下立即切斷網路並強制關機，以免災情擴大。
由於惡意病毒程式感染電腦後，需透過網路連結通知中繼站。把網路線中斷、或是啟動安全模式，有助中止惡意程式對檔案進行加密。

2.檔案已全數被加密完成時：千萬不要開啟防毒軟體硬碰硬，以免檔案毀損即便解密也無法再開啟，甚至也有可能因此無法開啟付贖金的勒索視窗、或下載解密程式。另，可考慮嘗試目前部分防毒軟體公司所釋出的解密工具。

3.解密失敗時：若採取上述方式解密仍失敗，務必將硬碟留下，或直接找顆硬碟對拷。目前很多案例顯示，無論是破解成功、或是付贖金得來的解密程式，都必須要檔案留在原處才可復原，建議不要搬移硬碟。
至於是否該付贖金的議題，資策會資安所的建議是，不要付贖金了事，才不會助長此風氣。此外，若駭客得知你有能力付贖金，未來將再度被勒索的可能性很高，且就算是付了贖金，也無法保證駭客會履約、將該加密的檔案還完解密。

遇到這種事電腦只能重灌了！

新聞有報導
有白痴付了200萬元一樣沒解鎖

Windows系統的SMB安全性漏洞其實早在106年3月14日就已經釋出KB4012215更新修補漏洞，使用非正版作業系統（無法進行Windows Update）或已經長時間未執行Windows Update的電腦容易有風險，務必要隨時保持最新的安全性更新。尚未更新的電腦，儘快先按以下步驟關閉 SMB 1.0/CIFS 檔案共用支援、開啟 Windows 防火牆、設定封鎖 Port 445連線，再安裝系統更新檔：

一、關閉 SMB 1.0/CIFS 檔案共用支援

Windows 7：
1. 「開始」功能表→在「搜尋程式及檔案」欄位輸入 regedit，按下Enter鍵，開啟登錄編輯器
2. 尋找以下路徑：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
3. 在右方窗格的空白處按右鍵，選擇[新增]→[DWORD(32-位元)值]→輸入SMB1→「值」設定為0
4. 重新啟動電腦。

Windows 8、Windows 10：
1. 「開始」功能表→在「搜尋程式及檔案」欄位輸入powershell，按下Enter鍵，開啟Windows Powershell
2. 執行 set-ExecutionPolicy Unrestricted 指令，看到「您要變更執行原則嗎？ [Y} 是<Y>」的提示訊息時，再輸入Y
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false 指令
4. 顯示 SMB Server Configuration 確認提示、輸入 Y 或按 Enter 也可以。
5. 輸入指令 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 進行檢查，當 SMB1 顯示 False，代表已成功關閉 SMB1 服務。
6. 重新啟動電腦。

Win10雖然基本上不會觸發主動式攻擊， 但如果未安裝更新檔，系統漏洞仍然存在，還是要儘快更新。

二、開啟 Windows 防火牆
由[控制台]→[系統及安全性]→[Windows防火牆]→[開啟或關閉Windows防火牆]→[開啟Windows防火牆]

三、由Windows 防火牆設定封鎖 Port 445連線
由[控制台]→[系統及安全性]→[Windows防火牆]→[進階設定]→[輸入規則]→[新增規則]→選擇[連接埠]，按「下一步」→選擇「TCP」和「特定本機連接埠」，然後在「特定本機連接埠」後面輸入445，按「下一步」→封鎖連線。

還是別亂亂按的好

這次事件告訴我們使用網路的潛在風險有多高
希望大家養成良好習慣，重視自家電腦的資訊安全

備份加重灌 還是要重灌