相信大家都有聽過勒索病毒 Wannacry 事件,也是從這次事件後才比較多使用者開始更加注重資安以及檔案備份,本篇文章就讓我們來聊聊為什麼這次 Wannacry 事件的攻擊會這麼嚴重?造成大量的使用者及公司的檔案皆被加密無法被還原。
Wanncry 有別於以前的勒索病毒,過去的勒索病毒是靠著使用者點擊不明連結、下載郵件附件等等行為導致電腦中毒,基本上這類的攻擊方式都需要藉由使用者的操作才有辦法感染(如點擊、下載、安裝、瀏覽、……等),而這次的 Wannacry 則是利用 Windows 作業系統的漏洞來主動發起攻擊,將使用者的所有檔案全部加密,還會擴散並攻擊區域網路中的所有電腦。
但你知道嗎?
在病毒大量肆虐前兩個月,微軟就已經發布漏洞修正檔了
造成災情如此嚴重的原因,除了是使用已不支援安全更新的作業系統外,有些使用者是為了避免自動更新影響到電腦工作 以及 考量企業內部程式相容性問題,會選擇直接關閉 Windows 自動更新,導致電腦無法即時收到最新的修正檔,且這次的勒索攻擊還會透過區域網路傳遞,所以讓 Wannacry 在這一波的攻擊非常猛烈。
而微軟在攻擊發生後數個月的 Windows 10 1709 Fall Creator Update 發布更新時一併發出公告,說明之後的新版本皆不再預設安裝這次被攻擊的 “SMBv1” ,並且強烈建議不要重新安裝 SMBv1,因為這個舊版通訊協定已知具有勒索病毒及其他惡意程式相關的安全性問題。(參考連結)
至於使用自動更新時使用者最常詬病的問題,微軟在 2018 年 7 月時有發表一篇更新說明,文內提到微軟成功研發了新的預測模型並且會改善 Windows 10 重新啟動的機制、更新 Windows 10 重新開機的執行邏輯,且會掌握使用者使用電腦的時間,將不再強制中斷工作中的電腦重啟。相信每個 Windows 10 使用者都非常期待這個更新。(參考連結)
—
不過,勒索病毒也是會不斷進步、變種,為了避免下一波的攻擊,做好預防是十分重要的,該怎麼做呢?
如何預防勒索病毒?
以下簡單列出幾個需要留意的部分:
- 切勿點擊任何不明連結,下載郵件附件、網頁上的廣告等。
- 將系統升級至 Windows 10 並且更新至最新版本,且開啟自動更新以將系統維持在最新的狀態。
- 安裝防毒軟體。
- 備份。最能確保資料安全的辦法,因為並非所有人都是電腦專家,在無法確認有心人士未來會透過哪些管道攻擊,因此將資料進行備份才是最安全的做法。
(有關備份知識,可參考: 【03/31特輯】您的智慧型手機或電腦做過備份 嗎? )
另外,也可以關閉不常用到的服務:
- 關閉遠端連線功能。
- 開啟防火牆,並關閉不必要的 port 位 (如 Wannacry 所攻擊的 445 port )。
如何確認是否中了勒索病毒 ?
- 若您發現電腦的桌布被改成 “您的檔案已被勒索”…等等訊息並留下支付贖金方式,通常出現此類訊息代表電腦已被勒索。
- 開啟檔案總管,並在檢視功能列打開”檢視副檔名”,並瀏覽硬碟裡的資料,若副檔名為亂碼或是為勒索病毒常見附檔名(如 .wncry 等)則有極大可能中勒索病毒。
中了勒索病毒該怎麼辦?
- 立即斷開網路線並關機,避免勒索病毒透過網路攻擊區域網路中的其他電腦。
- 將硬碟拆下並封存,並且等待防毒軟體公司釋出的解密工具。
- 將硬碟完全清除,並且重新安裝最新版本的作業系統。
如果您已嘗試所有辦法仍無法救回資料且這些資料非常重要,也會有人選擇支付贖金,但請注意!過去也曾有人支付贖金後仍拿不到檔案。
以上提供幾個解決辦法,勒索病毒日新月異,最重要的還是要養成良好的操作習慣以及時常備份哦!