WanaCrypt0r 2.0 大規模攻擊漏洞系統相關資訊整理與現階段預防方式(2017.05.14更新)

WanaCrypt0r 2.0 大規模攻擊漏洞系統相關資訊整理與現階段預防方式(2017.05.14更新)

寂靜之夜 Silent Night

若有任何需要修正/補充的資訊歡迎與我聯繫,歡迎非商業使用轉貼,但請註明出處與作者。

本文禁止商業使用。

2017.05.13更新:修正各項錯字,增加資料來源連結,增加新的針對預防手段"SMB功能關閉",感謝鄭仁翔

2017.05.13二次更新:修正有關Windows XP與Windows 8(非8.1)部分描述。

2017.05.14更新:新增Windows 7 利用註冊機碼值方式關閉SMB服務。

2017.05.14二次更新:據消息指出,先前有英國資安人員註冊網域來暫停攻擊的手段已經失效,WannaCrypt變種版(去除暫停開關)已開始蔓延,請各位還是在可能範圍內盡快補強漏洞。


提要:於這兩天(2017.05.12)發現大規模WanaCrypt0r 2.0勒索病毒針對近日微軟發布之漏洞更新中的漏洞進行主動式攻擊,第一波大型攻擊清單中台灣也被列於受攻擊國家內,並且於05.12為止為受攻擊國家中被攻擊成功數排名第二名。

以下針對相關訊息進行簡單整理,並且提供初步解決方式。

攻擊模式

此次攻擊係使用微軟於三月發布的安全性更新中修補的漏洞,可讓攻擊者於遠端直接執行攻擊代碼,進而進行主動式攻擊。主動式攻擊有別於以往的攻擊模式,使用者就算沒有開啟奇怪的網頁或下載奇怪的檔案,只要該漏洞存在,電腦便有遭到攻擊的可能。

受到攻擊的特徵

目前已知該病毒在網路上大規模掃描,針對未更新的電腦且連接阜445為開啟狀態者發動攻擊,一旦受到攻擊後,電腦上的檔案將被惡意加密,副檔名被更改為.wncry,並跳出勒索訊息,要求支付約等值300美金的比特幣,若未於第一階段期限內付款則贖金提高,第二階段期限內未付款則撕票(銷毀解密金鑰)。除此之外,受到攻擊的電腦還會進一步掃描處於同一個網路範圍下的其他電腦,並進行攻擊,使該受害電腦也轉為攻擊電腦的一環。

怎麼解決?

目前已知受到攻擊的電腦具備下列特點:

1.連接阜445為開啟狀態(SMB遠端檔案分享功能)

2.電腦的安全性更新為今年三月以前

3.該電腦網路並未透過router過濾

以下針對上述幾點,作業系統為Windows7以上之電腦進行防堵。Windows XP在本次攻擊中也屬於受害範圍,但因該作業系統已被官方停止支援,且抱持鼓勵大眾升級至較安全的新型作業系統理念,在此不多著墨,另Windows 8 (非8.1)因官方並未釋出相關更新,因此在此省略。

2017.05.13:這次的災情似乎非常大,因此Microsoft官方特別為此次漏洞釋出獨立更新檔給予Windows XP與Windows 8(非8.1),但有鑑於鼓勵大家升級的概念,以下仍不多作介紹,有興趣者可參考癮科技這篇文章

A.關閉連接阜445與關閉SMB功能

請至控制台(Windows 7->開始/控制台,Windows 8.1以上->左下角開始點右鍵,選擇控制台),進入Windows防火牆/進階設定,左側選擇輸入規則後,點選右方的新增規則。

接著選擇連接阜,按下一步。

接著注意,本規則要建立兩次,其他部份一樣,在本步驟時則分別選擇TCP以UDP,並特定指定445,完成後下一步。

指定動作,這邊我們選擇封鎖連線,下一步。


選擇所有網路,下一步。

最後取名,按完成就可以了。

到此我們已經完成針對連接阜445的防堵了,接下來我們來關閉SMB功能。這邊說的步驟須為Windows 8.1以上作業系統才可使用,Windows 7的使用者請往下方看。

回到控制台,開啟程式與功能,並點選左邊的"開啟或關閉Windows功能"

接著找到SMB檔案共用支援的項目,取消勾選後按確定,就大功告成了。

至於Windows 7的使用者,在這個項目中會找不到上述的選項,必須麻煩一點使用機碼值來阻止服務,步驟如下。

按下Win鍵(鍵盤上那個Windows標誌)+R,呼叫執行視窗,輸入regedit後按下Enter。

左邊選擇進入到路徑:HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters

若是找不到HKLM者,試試HKEY_LOCAL_MACHINE。

找到後,於右方空白處點選右鍵,選擇新增-DWORD,並且將名稱取為SMB1,資料的數值為0。

完成後,請重新開機,應該就可以了。

另外請注意,上述終止SMB服務的設定雖然可以避免本次的勒索病毒發動的主動式攻擊,但也會有機率造成網路檔案交換功能的失效,或是(極少數機率下)網頁瀏覽出現異常,若是有相關需求者建議還是優先進行下面B選項的安全性更新,詳細影響可自行Google或參考這邊

B.更新電腦的安全性更新。

Windows 7的使用者,請更新安全性更新到編號KB4012215。

Windows 8.1的使用者,請更新安全性更新到編號KB4012216。

Windows 10的使用者,請直接將作業系統更新至版本號1607以上。

詳細更新檔案可參考這邊,感謝阿凡高高度降下低高度開傘

C.備份檔案。

請針對電腦中的重要檔案,使用離線的方式(隨身碟/隨身硬碟)進行備份,並且在完成檔案備份後,將裝置安全移除,若是電腦遭受勒索病毒攻擊時備份媒體仍然連接於電腦上,將會導致您的備份檔案一併遭到惡意加密。

D.更新防毒軟體

若是電腦有安裝防毒軟體的使用者,請務必保持防毒軟體的狀態為最新版本,並不要任意關閉警報或防毒軟體本身。目前有網友就是因為看到防毒軟體跳出警告後,居然因為覺得吵而關閉防毒軟體,導致電腦遭到攻擊,這樣的行為只能說是資安觀念嚴重不足。

E.針對router也設定阻擋連接阜445

在這點部分,由於市面廠商眾多,這邊便不一一教學,原則上將上述動作都執行完成便可避免,若是對此項預防措施有興趣者可自行Google相關資訊。

總結

以上的動作完成之後,初步就完成了針對本次攻擊的防賭措施。要注意的是,以上的應急手段只針對尚未被攻擊的電腦有效,若是您已經中獎,那以上方法並不能救回您的檔案(但還是建議於問題解決後施行,避免二次中毒)。本次的攻擊尚未傳出Linux/MacOS系統的災情,但也一樣提醒其他作業系統的使用者,務必保持良好的上網習慣。


以下針對一些特定的問題列出Q&A。

1.這次的勒索病毒攻擊與其他的攻擊有什麼不同?

以往的攻擊,都是藉由誘使使用者下載檔案(例如前幾天流行的伊莉論壇Flash假廣告勒索病毒),或是使用瀏覽器的漏洞,使使用者在上網時絕受到攻擊(例如前陣子的Yahoo奇摩首頁遭到植入惡意程式碼),但本次的攻擊,則不須使用者進行任何動作,只要使用者的電腦與網路保持連線,並且有上述的漏洞,就有可能遭到攻擊,可說是比起其他的勒索病毒來的更具威脅性。

2.若是我的電腦檔案本身就有加密,是否可以避免?

無法。勒索病毒只會把這些檔案再加密一次,妳還是打不開。

3.我已經中獎了,我該怎麼辦?

立即強制關機,並且使用外接的作業系統/安全模式開機,將尚未遭到加密的檔案複製出來。剩下的部分,最好的建議是重新安裝作業系統,若是有耐心的人可等待日後可能有人研發出相關解密軟體,但這點無法保障。若是有不得已需求者,或可考量付贖金,但強烈不建議。

注意,目前市面上若有任何資料救援公司聲稱可救援本次攻擊受到加密的檔案,99%以上都是騙人的,請三思。



資料來源:

https://www.ptt.cc/bbs/AntiVirus/M.1494600965.A.ED7.html

https://www.ptt.cc/bbs/AntiVirus/M.1494606400.A.A6D.html

https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html

https://www.ptt.cc/bbs/AntiVirus/M.1494612265.A.EFE.html

https://www.ptt.cc/bbs/AntiVirus/M.1494613557.A.0C0.html

https://www.ptt.cc/bbs/AntiVirus/M.1494593343.A.8EC.html

https://www.ptt.cc/bbs/AntiVirus/M.1494588129.A.C3E.html

https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html

https://www.plurk.com/p/m86idb

https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx

https://www.cool3c.com/article/124186