這兩天最甚囂塵上的科技新聞大概就是在短短 48 小時之內席捲全球的 WannaCry 勒索程式吧?雖然本站昨天已經透過 Facebook 發佈相關資訊,但由於 48 小時過後看起來並沒有止息的跡象而且這兩天到訪本站的人次有明顯增加的趨勢,因此在此另外撰寫一篇較為完整的文章以方便各位查詢。
到底發生甚麼事了?
這款自稱為 Wana Decrypt0r 的勒索程式主要是運用在上個月被洩漏,原先由美國國家安全局 (NSA) 所設計的入侵工具 EternalBlue 所利用的 SMB 1.0 漏洞 (CVE-2017-0143 ~ CVE-2017-0148) 進行惡意程式注入來進行傳播,一旦感染之後電腦內具備下列副檔名的所有檔案都有可能遭到加密。
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc
從上面的清單當中可以發現對方的主要下手目標是各類常用辦公、繪圖軟體所產生的檔案以及各類文件、憑證、金鑰、備份檔、虛擬機器硬碟檔案等,影響範圍非常的廣泛,並且與其他勒索軟體使用相同的模式,也就是一旦檔案被加密之後在不知道用於加密之私鑰的情況下基本上使用者是沒辦法自行解鎖的。
惡意程式特徵
此款勒索軟體的主要特徵為感染後會將電腦內的檔案加密並將副檔名變更為 .wncry,之後出現如下圖所示的勒索訊息,脅迫用戶在 3 天之內支付等值於 300 或 600 美元的 Bitcoin 到指定的錢包地址,並於 3 天過後加倍贖金,在七天倒數完畢之後宣稱將永久刪除用於解密的密鑰,使檔案無法復原。
影響範圍
這波勒索程式攻擊其主要的入侵方式是透過 SMB 1.0 的漏洞進行,微軟早在今年 03 月 14 日就已經發佈資訊安全公告 MS17-010 提及相關的漏洞並且同步發布了修補程式,由於 SMB 1.0 幾乎包含在目前主流的所有 Windows 版本之中,因此受影響範圍非常廣泛,基本上在沒有安裝修補程式的情況下只有剛推出不久的 Windows 10 創作者更新 (版本 1703) 得以倖免於難。
具體可能受害的作業系統版本有以下這些:
- Windows XP (所有版本)
- Windows XP 64-bit Edition (所有版本)
- Windows Server 2003 (所有版本)
- Windows Server 2003 R2 (所有版本)
- Windows Vista 與 Windows Server 2008 (所有版本)
- Windows 7 與 Windows Server 2008 R2 (所有版本)
- Windows 8 與 Windows Server 2012 (所有版本)
- Windows 8.1 與 Windows Server 2012 R2 (所有版本)
- Windows 10 首次發行版本 (版本 1507) Threshold Wave 1
- Windows 10 秋季更新 (版本 1511) Threshold Wave 2
- Windows 10 周年更新 (版本 1607) Redstone Wave 1
- Windows Server 2016
如何防範?
只要是人寫出來的程式難免都會有漏洞,特別是作業系統這麼龐大的軟體,要完全沒有弱點基本上是不可能的事情,這正是經常更新作業系統並盡可能保持使用最新版本非常重要的原因,要避免自己的電腦被惡意程式盯上,除了安裝最新版的防毒軟體並保持使用最新的病毒定義碼之外,更重要的是保持良好的上網習慣 (不要下載與執行來路不明的程式等) 與經常確認電腦上執行的軟體已經安裝最新版本的修正檔與更新。
立即安裝修補程式
眼下你最應該做的即時反應就是立即安裝微軟針對此勒索軟體利用的安全漏洞釋出的修補程式,由於本次影響範圍非常廣泛,甚至包含許多政府機關與學校而引發廣泛的報導與政府機關出面召開記者會,因此微軟方面已經破例針對所有受影響的 Windows 版本釋出修補程式,連同已經終止支援的 Windows XP、Windows Server 2003 也包含在內,你可以在下方的網址當中取得你需要的修補程式,也可以立即透過 Windows Update 安裝所有尚未安裝的更新。
此外,我建議各位可以先下載好下列修補程式與最新版本的防毒軟體及病毒定義檔,在開機之前先暫時中斷網路將修補程式安裝妥當與防毒軟體更新並進行掃描,並進行重要資料異地備份,在完成上列程序之後再恢復網路連線以防範感染。
Windows 10
- Windows 10 周年更新 版本 1607 (64 位元) KB4019472 累積更新 14393.1198
- Windows 10 周年更新 版本 1607 (32 位元) KB4019472 累積更新 14393.1198
- Windows 10 秋季更新 版本 1511 (64 位元) KB4019473 累積更新 10586.916
- Windows 10 秋季更新 版本 1511 (32 位元) KB4019473 累積更新 10586.916
- Windows 10 首次發行 版本 1507 (64 位元) KB4019474 累積更新 10240.17394
- Windows 10 首次發行 版本 1507 (32 位元) KB4019474 累積更新 10240.17394
Windows Server 2016
- Windows Server 2016 版本 1607 (64 位元) KB4019472 累積更新 14393.1198
- Windows Server 2016 版本 1607 (32 位元) KB4019472 累積更新 14393.1198
Windows 8.1 與 Windows Server 2012 R2
Windows 8 與 Windows Server 2012
- Windows Server 2012 與 Windows Embedded 8 Standard (64 位元) KB4012214
- Windows Embedded 8 Standard (32 位元) KB4012214
- Windows 8 (64 位元) KB4012598
- Windows 8 (32 位元) KB4012598
Windows 7 與 Windows Server 2008 R2
- Windows 7、Windows Embedded Standard 7 與 Windows Server 2008 R2 (64 位元) KB4012212
- Windows 7、Windows Embedded Standard 7 與 Windows Server 2008 R2 (32 位元) KB4012212
- Windows Server 2008 R2 (Itanium IA64) KB4012212
Windows Vista 與 Windows Server 2008
- Windows Vista 與 Windows Server 2008 (64 位元) KB4012598
- Windows Vista 與 Windows Server 2008 (32 位元) KB4012598
- Windows Server 2008 (Itanium IA64) KB4012598
Windows Server 2003 與 Windows Server 2003 R2 繁體中文版
- Windows Server 2003 與 Windows Server 2003 R2 (64 位元) KB4012598
- Windows Server 2003 與 Windows Server 2003 R2 (32 位元) KB4012598
Windows XP 64-bit Edition 英文版或英文版 + 中文語言包
Windows XP 繁體中文版
- Windows XP KB4012598 (一般 Windows XP 電腦請選此項)
- Windows XP Embedded KB4012598 (僅嵌入式系統)
- Windows Embedded System 2009 與 Windows PosReady 2009 KB4012598 (僅嵌入式系統)
升級系統版本
安裝修補程式僅能暫時解決目前運用 EternalBlue 漏洞的勒索程式,並沒有辦法根除所有其他安全性漏洞,更不可能防範目前尚未發現的問題,因此如果你目前使用的作業系統版本已經或即將終止支援,請務必盡快升級到目前仍在支援範圍內的 Windows 10、Windows Server 2016、Windows 8.1、Windows Server 2016 並時刻確保自動更新功能開啟且正常運作。
此外如果你正在使用 Windows 10 的初次發行版本 (版本 1507)、秋季更新 (版本 1511) 或周年更新 (版本 1607) 的話,建議你盡速升級到目前最新的 Windows 10 創作者更新 (版本 1703)。
更新防毒軟體
上面這些都確定完成之後,接下來才需要考慮防毒軟體的問題。時刻保持防毒軟體在最新版本且確保授權仍在有效期間內、下載並安裝最新版本的病毒定義碼,以讓防毒軟體得以在惡意程式開始作怪之前就將其清除或隔離。
保持良好的上網習慣
當然要防範惡意程式最重要的還是使用者本身必須養成良好的上網習慣,舉例來說:
- 不要點閱來路不明的郵件。
- 不要下載來路不明的檔案、軟體、影片、音樂或任何檔案。
- 不要點來路不明郵件內的任何連結。
- 避免瀏覽不明或顯然有風險的網站。
- 時刻保持防毒軟體在最新版本,並且保有最新版本的病毒定義碼。
- 時刻保持系統與軟體在最新版本。
- 開啟自動更新功能並安裝所有重要安全性更新。
- 定期將重要檔案備份到「電腦本身之外的其他地方」(病毒可不一定會在意 C、D 槽的差別)
- 不要執行隨身碟當中的不明檔案。
- 在使用之前掃描或檢查在其他電腦上使用過的隨身碟是否藏有病毒。
如果被感染了,怎麼辦?
如果你確信你的電腦已經遭到感染,或是檔案已經被加密甚至勒索訊息已經出現等狀況的話,請立刻中斷受感染電腦的網路連線並將電腦直接斷電 (以中斷加密程序降低損失,之後可以使用其他電腦在安全、受保護的環境下嘗試救回尚未被加密的檔案)。
之所以要優先中斷網路連線主要是考慮到有許多勒索程式會透過 SMB 漏洞而在區域網路、網際網路上快速互相傳播 (本次的主角即是如此),如果同一區域網路內有其他電腦尚未安裝修補程式的話,可能會在非常短的時間之內同被感染,造成更嚴重的資料損失,在中斷網路之後請立刻在所有電腦上安裝修補程式並更新防毒定義碼。
這種情況在公司與校園電腦教室當中特別明顯,因為這些環境內的電腦通常都執行著相同或類似版本的程式與系統,具備相似的弱點因此一旦一台中獎,很快就會擴散到全公司或整間電腦教室內的所有電腦,造成嚴重的損失與極大的困擾 (據傳國立清華大學就有發生電腦教室迅速全軍覆沒迫使考試中斷的情形)。
在此要特別強調不建議受感染的使用者支付贖金,因為基本上就算支付贖金,也不一定拿得回被加密的檔案,反而容易助長研製勒索程式的勢力發展更多勒索程式與產生感染更多人的動機。
Microsoft 最有價值專家 (MVP) 
