因應 #勒索病毒 😱 備份、升級不可少...
#防患未然 #駭客攻擊瞬息萬變
#阻擋一波擴散_馬上又有變種
五月的第二週原本是溫馨美好的母親節,但WannaCryptor勒索軟體擴散訊息搶佔各大媒體報導,成為襲捲全球的大新聞。小編整理相關資訊讓您快速掌握IT人員及一般使用者的緊急應變措施以及了解WannaCryptor勒索軟體。
先別說這麼多,以下步驟您做了嗎 💁
👷 如果您是IT人員:
⭕ 防火牆攔阻 445 Port 流量並考慮限制 Tor 流量;
⭕ 入侵偵測系統設定阻擋 MS17-010 漏洞之特徵或規則;
⭕ 清查公司電腦資產,確認公司作業系統修補程序與資安軟體的部署狀態;
⭕ 部署微軟官方提供最新的修補檔;
⭕ 目前大多數的防毒軟體廠商均緊急提供特徵碼,將防毒軟體更新到最新版;
⭕ 備份公司重要檔案。
💡 原先 WannaCry 會連結一個未註冊的網域作為防衛機制,有資安研究人員嘗試註冊該網域,成功暫停 WannaCry 擴散。但目前已經發現新的變種,✨✨✨✨ 所以這個方式已經不再有效,請勿掉以輕心 ✨✨✨✨
👩 如果您是一般使用者:
⭕ 確認電腦無法上網後,停用 SMBv1;
⭕ 安裝從微軟官方提供最新的修補檔;
⭕ 將防毒軟體更新到最新版;
💡 停用 SMBv1 方式按開始,然後搜尋「開啟或關閉 Windows 功能」,把 SMB 選項取消打勾,並重新開機。或者:打開 Windows PowerShell,並輸入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」(需要管理者權限)
💡 Windows各版本更新修補檔請參考微軟釋出說明:https://blogs.technet.microsoft.com/…/CUSTOMER-GUIDANCE-FO…/
👾👾👾👾👾👾👾👾👾👾👾👾👾👾
❓到底什麼是勒索病毒WannaCryptor
👾 WannaCry 被認為是基於美國國家安全局的「永恆之藍」EternalBlue 工具來發動攻擊,將受害者電腦內的檔案加密,並收取比特幣作為解密的贖金
👾 駭客組織 (The Shadow Brokers) 今年四月發布了一批從方程式組織(Equation Group) 洩漏的工具,其中便包括「永恆之藍」
👾 「永恆之藍」利用 SMBv1 的漏洞擴散,只要連上網路,用戶毋須任何操作,駭客便可植入執行勒索軟體、遠端控制電腦等惡意程序
👾 微軟於 2017 年 3 月 14 日已經發佈 MS17-010 系統修補程式來防堵此漏洞,但當時該修正程式只提供給較新的作業系統
👾 利用 AES-128 以及 RSA 演算法加密,並透過 Tor 通訊,因此難以反解密檔案與追蹤來源
❓受害與影響範圍
👾 WannaCry 提供 28 種語言,要求用戶支付 300 – 600 美元等值的比特幣贖金,並給予三天時間匯款,超過時間贖金則會翻倍,超過一周仍未付款則會「撕票」
👾 WannaCry 會同時在電腦上安裝 DOUBLEPULSAR 後門程式,它是另一款NSA 遭外洩的駭客工具
👾 主要針對Windows SMBv1的弱點進行攻擊,此次攻擊除利用電子郵件外,亦將會透過區域網路於內部快速擴散(有人中獎將於內部快速Remote感染擴散)
👾 可能遭影響的作業系統包含:
🖥 Windows XP
🖥 Windows 2003
🖥 Windows Server 2008 & 2008 R2
🖥 Windows Server 2012 & 2012 R2
🖥 Windows 7
🖥 Windows 8
🖥 Windows 8.1
🖥 Windows RT 8.1
🖥 Windows 10
🖥 Windows Server 2016
⚡⚡ 駭客攻擊的世界瞬息萬變,緊急處理措施完成後,務必持續檢視資安防護的完善程度有效降低資安風險 ⚡⚡
附圖中藍點為被攻擊區域,可見受災範圍十分廣泛,也同時提供您預防及解決勒索軟體的流程參考。
#請持續關注解決方案
同時也有1部Youtube影片,追蹤數超過2萬的網紅hksubwoofer,也在其Youtube影片中提到,微軟XP官網修補程式下載地址: https://www.microsoft.com/zh-TW/download/details.aspx?id=55245 微軟亦發佈Windows XP Embedded 、XP 64bit、Windows Vista、Windows 8、Server 2003...
「smb port 445」的推薦目錄:
- 關於smb port 445 在 SYSTEX 精誠資訊 Facebook 的最讚貼文
- 關於smb port 445 在 Ford AntiTrust Facebook 的最佳解答
- 關於smb port 445 在 王福 Facebook 的精選貼文
- 關於smb port 445 在 hksubwoofer Youtube 的最讚貼文
- 關於smb port 445 在 What is SMB,Port 445 and 139 ? Port 139 is known technically ... 的評價
- 關於smb port 445 在 出現了SMB CVE 445 Port攻擊 - Mobile01 的評價
- 關於smb port 445 在 Samba communication using a port different than 445 - Stack ... 的評價
- 關於smb port 445 在 [問題] SMB port445該不該開放? - 看板AntiVirus 的評價
- 關於smb port 445 在 Doesn't work on Windows · Issue #66 · adobe/node-smb-server 的評價
- 關於smb port 445 在 Is it risky to allow SMB traffic to the Internet - Information ... 的評價
smb port 445 在 Ford AntiTrust Facebook 的最佳解答
ตอนนี้ไวรัสคอมพิวเตอร์ประเภทเรียกค่าไถ่ (ransomware) ชื่อ WCry หรือ Wana Decrypt0r version 2.0 ระบาดหนักชั่วข้ามคืน (ประเทศไทย) ประมาณ 02:00 น. เป็นต้นมา สร้างความเสียหายทั่วโลก โดยเวลา 12:00 น. วันที่ 13/5/2017 (ผ่านมาแล้ว 10 ชั่วโมง) โดนโจมตีไปกว่า 100,000 เครื่องทั่วโลก จุดเริ่มต้นถูกโจมตีที่แถบยุโรปก่อน
โดยตัว ransomware นี้อาศัยช่องโหว่ของ SMB บน Windows ที่มีชื่อเรียกว่า ETERNALBLUE ที่ได้มาจากเครื่องมือแฮกของ NSA ที่หลุดออกมาเผยแพร่เมื่อหลายเดือนก่อน ซึ่ง Microsoft ได้ออก patch MS17-010 ไปแล้วเมื่อเดือนมีนาคมที่ผ่านมา ทั้งนี้ ransomware ตัวนี้ ยังไม่มีตัวถอดรหัสนำข้อมูลกลับได้ ถ้าโดนเข้ากับตัว ก็คงต้องทำใจจ่ายเงินอย่างเดียว
แนวทางป้องกันมี 2 ส่วนหลักๆ คือ
1. สำหรับผู้ใช้ทั่วไปที่ไม่มีความรู้ด้านไอที แนะนำให้อัพเดท patch ล่าสุดผ่าน Windows update เป็นการแก้ไขปัญหาช่องโหว่นี้ที่ง่าย และตรงจุดที่สุด
2. สำหรับองค์กรที่มีจำนวนเครื่องเยอะจนไม่สามารถอัพเดทได้ทันทีทุกเครื่อง ให้ปิดการเข้าถึง internet ของเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัพเดท patch MS17-010 เพื่อป้องกันขั้นแรก แล้วปิดการใช้งาน SMBv1 และ-หรือตั้ง Rule Firewall ไม่รับการเชื่อมต่อ port 139 และ 445 จากอินเทอร์เน็ต แล้วทยอยติดตั้ง patch ตัวดังกล่าวต่อไป
**** การปิด SMBv1 จะมีผลกระทบคือ
1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 การปิดอาจทำให้มีปัญหาในการ shared file และ share printer
2. ไม่สามารถใช้งานพวก Network Neighborhood ได้
3. หากใช้ NAS และ network multi-function printers บางรุ่นที่ใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้
คำแนะนำสุดท้ายสำหรับอนาคต หากเกิดเหตุการณ์แบบนี้อีก คือ ให้ทำการสำรองข้อมูลอย่างสม่ำเสมอ (backup data) เพราะเราไม่รู้ว่าในอนาคตจะมีที่อาศัยแนวทางนี้เพิ่มขึ้นมาอีกมากน้อยแค่ไหน และควรอัพเดท Windows ให้เป็นตัวล่าสุดอยู่ตลอดเวลาเพื่อป้องกันช่องโหว่ใหม่ ๆ
Windows version ที่ได้รับความเสี่ยงจาก ransomware ที่อาศัยช่องโหว่ ETERNALBLUE มีตั้งแต่ Windows XP เป็นต้นมา ข่าวดีคือ Microsoft ออก patch แก้ไขช่องโหว่ ETERNALBLUE เพื่อป้องกันการโดน Wana Decrypt0r เป็นกรณีพิเศษให้สำหรับ Windows XP, Windows Vista, Windows 8 และ Windows Server 2003 ที่หมด suppport ไปแล้ว สำหรับคนที่ใช้ version ดังกล่าวสามารถดาวน์โหลดได้ที่นี่ http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (อ้างอิง https://www.blognone.com/node/92401)
สำหรับใครที่ใช้ Windows Defender นั้น ทางไมโครซอฟท์อัพเดต Windows Defender ป้องกันภัย WannaCrypt แล้ว ซึ่งรวมไปถึงผู้ผลิตซอฟต์แวร์ความปลอดภัยแทบทุกรายก็อัพเดตซอฟต์แวร์ของตัวเองแล้วเช่นกัน (อ้างอิง https://www.blognone.com/node/92403)
ข้อมูลอื่น ๆ
- https://www.blognone.com/node/92390
- https://www.blognone.com/node/92401
- https://www.blognone.com/node/92403
- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20
- https://intel.malwaretech.com/botnet/wcrypt
- http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html
- http://sensorstechforum.com/wncry-file-virus-remove-restore-files/
- https://arstechnica.co.uk/security/2017/05/what-is-wanna-decryptor-wcry-ransomware-nsa-eternalblue/
- https://www.alienvault.com/blogs/labs-research/ongoing-wannacry-ransomware-spreading-through-smb-vulnerability
- https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
- http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
13/5/2017 12:40 - อัพเดทแนวทางป้องกันอื่นๆ เพิ่มเติม
13/5/2017 15:00 - อัพเดทลำดับการเขียนใหม่เพื่อให้อ่านง่ายขึ้น
13/5/2017 15:30 - อัพเดทเพิ่มเติมส่วน Windows XP, Windows Vista, Windows 8 และ Windows Server 2003
13/5/2017 16:40 - อัพเดทเพิ่มเติมส่วน ไมโครซอฟท์อัพเดต Windows Defender ป้องกันภัย WannaCrypt
smb port 445 在 王福 Facebook 的精選貼文
WanaCrypt0r 2.0 綁架軟體
分享給各位預防的方法
1.連接阜445 關閉
https://goo.gl/lmidQJ
2.更新電腦的安全性更新
Windows 7的使用者,更新編號KB4012215以上。
Windows 8.1的使用者,更新編號KB4012216以上。
Windows 10的使用者,更新至版本號1607以上。
3.SMBv1服務關閉 (XP可用)
https://goo.gl/2LDJ9T
4.備份檔案
5.更新防毒軟體
by #王A #我也怕自己中標影片素材都GG
smb port 445 在 hksubwoofer Youtube 的最讚貼文
微軟XP官網修補程式下載地址:
https://www.microsoft.com/zh-TW/download/details.aspx?id=55245
微軟亦發佈Windows XP Embedded 、XP 64bit、Windows Vista、Windows 8、Server 2003和Server 2008 WannaCry勒索病毒特別修補程式
下載地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
建議用Windows 10電腦下載修補程式到USB記憶棒內,再抄檔案到其他舊版本電腦內更新,最好在斷網絡的情況下安裝修補程式。
Wannacry Windows XP update patch KB4012598
smb port 445 在 出現了SMB CVE 445 Port攻擊 - Mobile01 的推薦與評價
出現了SMB CVE 445 Port攻擊- 小弟在今天用電腦的時候出現很多的攔截紀錄,有先上網看過這是什麼東西,結果一查,好像是之前利用445port來攻擊電腦的 ... ... <看更多>
smb port 445 在 What is SMB,Port 445 and 139 ? Port 139 is known technically ... 的推薦與評價
In Windows 2K/XP, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NetBT. For this they use TCP port 445. Port 445 ... ... <看更多>