WanaCrypt0r 2.0 勒索软件堪称今年最让人火大的事件之一,许多人的电脑一打开就看到被勒索的画面,完全摸不着头绪怎么被感染到。今天就来跟大家分享几个可以解决问题的方法。解决问题的基本要求就是把档案捞回来,目前已经有人发现原始档案其实没有真正被删除,仍然可以透过救援软件捞出来,至于之后如果蠕虫变种了该怎么办?这边也有一些目前已知的方法可以教你防御攻击与 WanaCrypt0r 2.0 解毒 与资料救援 。
WanaCrypt0r 2.0 勒索软件大概是今年到现在为止最恐怖的一波勒索攻击。这支相当贪财的蠕虫病毒已经引起世界级的灾难。包含台湾也有相当严重的情。我们在前面的文章中已经说明过这波感染的严重性,世界上的安全专家们也纷纷出笼研究如何防堵这些讨人厌的蠕虫,让我们看看有哪些实用的例子。
WannaCrypt 擅长感染同个网段下的电脑,将主机所有文件档加密上锁。但一位英国人发现了一个征兆,MalwareTech 取得在英国健保署大肆破坏的 WannaCrypt 勒索软件样本,在准备进行研究,丢进隔离环境执行时,发现 WannaCrypt 会一直尝试存取某个未注册的网域名称。于是判断只要网址无法连线就会触发病毒。因此他们把这个未注册的网址注册下来,花了 8.29 英镑。结果样本自己坏了:
▲DNS 回应显示病毒对某些网址有反应。
▲初期拼命扫描 445 埠的蠕虫活动
对于刚开始的病毒来说,这招是有效的防堵招数,利用病毒自己的特性设下陷阱。不过接下来变种的病毒就不同了,相信这个招数也用不了太久。但拖住的时间用来更新系统防堵病毒还是有用的。至于现在有没有用不敢说(其实已经有变种病毒,改版速度超快),大家还是不要铁齿,立刻照本站所分享之修正方法处理比较实际(教学请点我)。
目前无 Kill Switch 的变种版本已经破解了第一种方法,因此目前主要的防制方向是从网段感染着手。基本上目前蠕虫对于 SMBv1 通讯协定的攻破能力相当强悍。微软虽然第一时间就发表了更新,但现在风声鹤唳的情况下,上线安装是种相当有风险的动作。所以禁用 SMBv1 通讯协定会是第一线防堵的最佳办法。至于 SMBv1 的关闭方法非常简单,请进入控制台→程式→程式集→程式和功能→已安装的更新→开启或关闭 Windows 功能→ 取消 SMB 1.0/CIFS 档案共用支援。这个方法适用于 Windows 8.1 以上的系统,至于 Windows 7 则需要先进入 regedit ,进入HKEY_LOCAL_MACHINE(或HKML)\System\CurrentControlSet\Services\LanmanServer\Parameters ,在右方空白处右键,新增一个 DWORD ,并将名称命名为 SMB1,然后将资料数值设定为 0 ,最后务必重新开机就算成功:
▲禁用 SMB 目前可以防止整个局域网络通通中奖。
这招其实跟第二招是同个道理,也是禁止 SMB 的使用。你可以透过 Windows 防火墙的管理功能封锁起来,如果你很熟悉网络设备,理论上在Switch 或 Router端封锁起来也是个方法。当然对一般人来说,直接从 Windows 防火墙封锁会比较简单一点:
至于平常乖乖使用,已经升级到 Windows 10 与 Creators Update 的朋友,建议还是做一些事情防止可能的威胁。
这点其实是确定解毒后该做的防御措施,预防二次感染。目前相关病毒的解除方法已经由各大防毒软件厂商释出,也已经有了新的病毒数据库出来,辨识出病毒并删除的可能性是有的。至于系统更不用说,微软已经为 Windows XP 与 Windows 7 释出更新档,有事没事按个更新把目前最可靠的防御工事补齐是最有效的。
重要资料 放在电脑里怕被蠕虫偷走,放云端怕被监看,那就多做几份吧。起码重要的资料要有两到三份备份。那些只要毁掉就回不来的资料都必须确切做好备份。不管是烧成光碟还是购入 NAS 进行备份都是有效减少损失的方案。
病毒的扩散来源并非只有网络,有时只是个静态连结都可能引导你进入陷阱,系统更新与病毒码更新都是初步的防御,要让系统尽可能不被打倒的方法就是不乱点陌生的连结,特别是那种通知你中奖的。
目前也有些奇葩的例子把整个电脑莫名的从被勒索的状态救回来。但这些例子都相当极端,不适合每一个人使用,只能说你可以测试看看,不代表绝对有效。现阶段的病毒行为已经解析出来, WannaCry 的运作原理是先将档案复制一份,加密后移除原始档案。也就是说其实原本的档案其实并没有被加密而是被删除,只要硬盘还有剩余空间,没被严重复写,基本上资料都可以救回来70~80%。
目前号称有效解除勒索状态的工具就只有这个被实测有效,透过中国科技媒体雷锋网披露后,相信应该不少人都会想要死马当活马医看看,具体来说方法就是下载该软件并安装,然后扫描硬盘找出受挟持的资料,直接解锁就可以恢复使用:
这招的问题在于,360 到底是怎么解决这个复杂的问题的?勒索软件通常采用 RSA + AES 的加密算法,破解难度极高, 360 的工具能快速做到解锁的能力到底是怎么做到的,启人疑窦。360 官方解释,透过分析该勒索软件的工作原理,利用特殊守法实现文件恢复。Wannacry 主要把原始文件读取到内存内中处理加密,但原始文件并未在这个过程中被删除,而是出现了一个加密后的副本。所以只要能找到原始文件的藏匿处就可以解除限制。但蠕虫的变种可能会更贱的把一些资料继续用垃圾资料洗过,让资料还原更困难更没有效率。
PTT 上的高手分享了他的研究成果,透过将硬盘 Format 过后直接用资料救援软件扫描,把真正的资料救出来。原理就跟上面说到 360 的救援效果一样,找出那个原始资料的位置然后捞出来。事实上这个原理也有位高手写了自动指令来解套。由于原理相似故放在一起谈论:
来源:http://disp.cc/m/163-9yMx
而网络知名的“狂少”他也证实了档案其实是被删除的论点,大家可以按照以下实际的救援成功案例顺序试着解毒并把档案救回。简单说就是使用干净的随身碟系统先将勒索病毒路径删除后,再使用档案救援软件救回资料:
来源:https://www.facebook.com/kevin.wu.9081323/posts/638308473032892
以实用性来看,现阶段以第三种方法的效果是最好的,使用独立于原本系统的 WinPE 开机,进入出问题的系统内,把病毒直接干掉。如同截图中所看到的一样。至于 WinPE 从哪可以弄到?这点已经算是不同的题目了,大家可以在网络上搜集资料,我们也会找机会跟大家介绍如何用 WinPE 救援系统。如果你本身没有做 WinPE 系统,可以询问平常涉猎电脑较多的朋友,不然就是抱着电脑找店家求救。
当然,目前网络上风声鹤唳,该软件目前仍然在网络上肆虐,只要是 Windows 相关系统无不中招。但 Windows 10 目前还没有问题,对大家来说,还是要保持系统更新,以及安装安全软件防堵来自网络的威胁。最近这场硬仗让资讯人员忙得人仰马翻。但别忘了就算病毒已经完全杜绝,新的病毒仍可能继续威胁着我们的资料,平时的备份与系统的更新仍需要定期进行,也最好不要在系统结束维护后仍然铁齿使用,这次问题之所以严重,就跟 Windows 7 与 XP 仍在多数企业与机关内存活的缘故,未来或许类似的威胁也会同样降临到 Windows 10 上,在这之前仍然需要保持危机意识,定期备份 重要资料 ,才能在未来的威胁中全身而退。若大家有发现更好的方法,也欢迎大家跟我们一起分享喔。
WanaCrypt0r 2.0 修补 方式 Windows XP、7、8、10 全系统整理 全球灾情惨重不要铁齿