HKCert
HKCERT logo 香港電腦保安事故協調中心

HKCERT logo 香港電腦保安事故協調中心

保安博錄

小心 WannaCry 勒索軟件擴散

發布日期: 14 / 05 / 2017
最後更新: 15 / 05 / 2017

 

此處下載以下指引的 PDF 版本。

 

一款名為 WannaCry (亦稱 WannaCrypt 或 Wanna Decryptor) 的新型勒索軟件正在散佈,透過加密檔案進行勒索,以致影響海外多個重要公眾服務。

 

勒索軟件是一種透過加密受害人檔案及要求贖款以取回檔案的惡意軟件。WannaCry 是第一款能在家用或辦公室網絡散佈,並感染更多裝置的新型勒索軟件。個人及企業用戶需更小心採取防範措施以防止受感染及損失數據。

 

高風險範圍

HKCERT 接到兩宗事故報告,並有共同特徵:

  1. 該兩名用戶直接連接電腦至互聯網而沒有使用寬頻路由器或設置防火牆。
  2. 他們的電腦沒有安裝最新的保安更新程式。

高風險範圍 1:電腦直接連線到互聯網

HKCERT 提醒用戶直接連線到互聯網會將電腦曝露於互聯網而受攻擊。用戶應使用寬頻路由器或防火牆。低階寬頻路由器能提供簡單的 NAT 防火牆功能以阻擋外來界擊。

 

高風險範圍 2:辦公室網絡內有未作保安更新的電腦

即使在辦公室網絡設置了防火牆,只能保護網絡不受外界的網絡掃描或入侵。若受感染的電腦連接到網絡,該電腦會掃描及攻擊其他未作保安更新的內部電腦。因此必須確保連接到辦公室網絡的電腦已安裝了最新的保安更新程式。

 

個人用戶的防範措施

  1. 設置寬頻路由器供裝置連線到互聯網。不要把裝置直接連接到互聯網。
  2. 在沒有互聯網連線的情況下,使用其他儲存裝置 USB 「手指」或外置硬碟進行備份。
  3. 備份後立即移除儲存裝置。
  4. 安裝最新的保安更新程式。
    1. 提供各版本視窗修補程式下載連結 (亦提供視窗 XP、視窗伺服器 2003 及視窗 8 特別修補程式):
      https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ (捲動至頁底)
  5. 安裝防毒軟件或互聯網保安應用程式並更新病毒資料庫。

辦公室網絡用戶的防範措施

  1. 確保已設置防火牆或寬頻路由器,且沒有開放SMB服務(技術上要關閉TCP 139和445端口)。
  2. 在不連上互聯網連線的情況下,為需要數據備份的電腦,使用USB 「手指」或外置硬碟進行備份,備份後立即移除儲存裝置。
  3. 為辦公室網絡的電腦執行Windows Update,安裝Microsoft安全公告 MS17-010 保安修補程式。
    1. 提供各版本視窗修補程式下載連結 (亦提供視窗 XP、視窗伺服器 2003 及視窗 8 特別修補程式):
      https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ (捲動至頁底)
    2. 先為桌面電腦執行,然後逐部連接手提電腦執行。外攜手提電腦除非能確定未受惡意軟件感染,否則禁止其連接辦公室網絡。
  4. IT 管理員參照以下步驟停用 SMBv1:
    https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
  5. 以後定期為備份數據,並保留離線備份。

其他防護措施

  • 進行離線備份 (即是使用其他儲存裝置,備份後立即移除)。
  • 不要打開任何可疑電郵內的連結或附件。
  • 確保電腦已有基本保護,包括啟用及執行視窗更新、安裝已有最新病毒資料庫的防毒軟件及啟用視窗防火牆。

若電腦受 WannaCry 勒索軟件感染,應怎麼辦?

  • 若電腦已受感染,應立即停止網絡連線進行隔離,並移除連接到該電腦的儲存裝置。
  • 立即隔離其他電腦及檔案伺服器。最迅速的做法是關閉網絡交換器(network switch)以停止大規模擴散。
  • 未清理惡意軟件前不要開啟任何檔案。
  • 我們不建議繳交贖款。

參考資料