• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:593

●重點摘要： 1.網路保安公司發現全球多個國家的機構及個人電腦遭受名為「WanaCrypt0r 2.0」的勒索軟體攻擊感染，有別於以往的攻擊方式，據了解該勒索軟體是直接透過系統漏洞進行攻擊，除 Windows 10 及 Server 2016 外，近乎所有 Windows 系統及其伺服器版本均受威脅，安全專家呼籲用戶盡快安裝官方釋出的安全性更新，避免機構及個人電腦受感染。 2.此勒索軟體的運作模式一如既往，電腦遭受感染後，所有檔案均被加密成副檔名為 .WNCRY 的格式，無法正常開啟讀取資料。檔案加密後亦會彈出相應介面指示受害者需在 3 天內交付價值 300 美元的 Bitcoin 贖金，逾期加倍，若未能在 7 天內交付則再無法恢復檔案。 3.「WanaCrypt0r 2.0」是透過 Windows 系統內名為 EternalBlue 的 Windows SMB 遠端執行程式碼弱點進行攻擊，成功利用弱點的攻擊者有機會獲得在目標伺服器上執行程式碼的能力。 ●TWCERT/CC提醒用戶，目前 Windows Defender 已經可以針對發作中的惡意程式WanaCrypt0r，有效的偵測並清除。 大家可以從下列位置下載Windows Defender : https://support.microsoft.com/zh-tw/help/14210/security-essentials-download 1若疑似發現遭感染勒索軟體，務必採取行政院國家資通安全會報所提供之文件說明：立即行動、處理病毒及復原電腦等三階段的處理作業，詳情請參考以下連結： https://drive.google.com/open?id=0B8oCQC6r_SnsN0VZYTE4a21Ra0U 2.資安專家亦呼籲機構和個人用戶盡快安裝微軟官方釋出的 MS17-010 安全更新，確保修補今次攻擊中使用到的 SMB 伺服器漏洞。 https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396#ID0EHB 3.使用者也應該要遵循3-2-1規則來備份檔案：建立三份副本，使用兩種不同媒體，一份副本要存放在不同的地方，此外至少有一個系統備份是處於實體隔離的網路環境。 4.如有任何相關問題可以通報TWCERT/CC 免付費服務電話 0800-885-066 資安事件通報電話 03-4115387 資安事件通報信箱 twcert@cert.org.tw

參考連結：

http://technews.tw/2017/05/13/ransomeware-wanacrypt0r-2/