2017年5月19日 星期五

[備份王] WannaCrypt0r 2.0 感染測試 (有影片)


從上週至今, WannaCrypt0r 2.0勒索軟體所帶來的威脅,讓所有人擔心自己的電腦是否會開始出現案例,不像過去常見的勒索病毒,這次的 WannaCrypt0r 透過微軟作業系統MS17-010的漏洞(SMB) 對網際網路上的電腦主機進行主動攻擊,感染了這波勒索軟體真的會讓人「想哭」。

面對勒索軟體,千萬不要心存僥倖,下一波何時會再發生都是未知數,平時做好備份才是最佳的防禦方式!!

沒中過勒索軟體,可能無法體會檔案被加密「想哭」的感覺!!我們做了一個小實驗,用 WannaCrypt0r 的樣本感染給大家看。我們將 30 個檔案先透過「備份王」將電腦檔案備份好,找 WannaCrypt0r 樣本來作實驗,最後再把 30 個檔案檔案還原。

影片連結:https://youtu.be/aGeG0k57Uqw


以下為本次測試截圖畫面說明:

▼ 先將30個檔案進行備份,備份後的檔案會擾亂檔名


▼ 網路上找一支 WannaCrypt0r 病毒樣本進行感染實驗,原檔案的副檔名被加上.WNCRY


▼ WanaCrypt0r 跳出解密資訊視窗,並啟用倒數時間


▼ 右下角測試資料已都被加密(.WNCRY),備份後檔名擾亂則不受影響


▼ 勒索軟體更換了電腦桌布


▼ 還原:將受感染電腦中的備份檔案搬到另外一台乾淨的主機,透過備份還原工具進行還原,完整取回原始檔案


相關文章:
☑ 漫談如何防禦勒索軟體?做好檔案備份才是解決之道 :
http://blog.backupking.net/2017/05/backupking-talking-about-wanacry.html

☑ 別再擔心勒索軟體加密電腦檔案了,來試試免費備份工具 - 備份王 BackupKing 吧!
http://blog.backupking.net/2016/11/backupking-free.html

☑ 如何快速備份電腦中的重要檔案
http://blog.backupking.net/2017/01/blog-post.html

2017年5月16日 星期二

漫談如何防禦勒索軟體?做好檔案備份才是解決之道



2016是勒索軟體最猖獗的一年,多數使用者與企業的MIS都被多樣性的勒索軟體搞的暈頭轉向。

今年大約從的5/11開始,WannaCrypt0r 2.0開始出現案例,該病毒透過微軟作業系統MS17-010的漏洞(SMB) 對網際網路上的電腦主機進行攻擊,擴散速度相當快。因此,無論是新聞、各大資安通報中心、社群網站、各大部落客都陸續開始提醒民眾要小心防範。



以下我們針對 WanaCry 與勒索軟體來進行一些討論,希望可以提醒大家電腦檔案「備份的重要性」

1. 為何 WanaCry 這麼熱門?各大媒體爭相報導!!
過去有這麼多勒索軟體家族,頂多也只是上幾則新聞而已,為何這次WanaCry的影響力這麼大?

過去常見的勒索軟體大多是透過社交工程、惡意郵件、惡意的網站應用程式,或是使用者下載到惡意程式,進而感染觸發勒索軟體,導致電腦的檔案都被加密。

與往常不同,這次的事件攻擊者透過漏洞掃描工具,直接掃描網際網路上的電腦是否存在MS17-010的漏洞,直接進入電腦感染 WanaCry,意思就是說,我們的電腦若沒有更新,一直開著就有可能感染勒索病毒。

因此,這樣的資安消息需要很快被大家知道,才可以儘快修補與防護,降低勒索軟體擴散的風險以及減少電腦的損失。


2. 請立即執行作業系統軟體更新
網路上已經有很多更新教學,我們就不再論述太多,只要記得微軟已在2017年3月份發佈此重大漏洞的修補程式,所以尚未更新的電腦需儘快進行更新。

MS17-010 修補程式官方詳細資訊:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx


3. 除了更新,我還能做什麼?
更新防毒軟體病毒碼:防毒大廠基本上都會有防護勒索軟體的能力,至於各家防毒廠商的偵測能力就比較無法定論,尤其遇到新型態或變種的勒索軟體,也就很難保證即時就可以偵測並攔阻。

新增防火牆規則: WanaCry 勒索軟體是透過 SMBv1 的漏洞進行攻擊,系統預設的通訊埠為445 Port,建議可以將 445 Port 阻擋掉(TCP & UDP)。

關閉SMB服務:這方式可能對一般使用者有些難度,但若您從事MIS工作或是有資訊相關背景,建議可以將電腦的此項服務關閉。


這樣做完就不會遭受勒索軟體威脅了嗎?

綜觀過去常見勒索軟體感染的方式,加上這次 WanaCry 的事件,從資安的角度來看,很多案例都是使用者對於使用網路疏於防範,才會讓攻擊者有機可趁。其中包括開啟了來路不明的郵件、點擊惡意網站上送大獎的廣告、安裝了來路不明的快樂版軟體、不常更新作業系統軟體、不備份電腦檔案等。

近年來網際網路盛行,上網方式也變的更為廣泛,建議在使用網路時更應該提高,像是我們在路上開車,車越多越要注意安全。不要開啟來路不明的電子郵件附件,不要點擊疑似有問題的連結,不下載執行非官方提供的軟體,最重要的還是要養成檔案備份的習慣。

除了上述的的基本防護觀念之外,其中最重要的應該是平時就要「資料異地備份」,才是最好保護電腦重要資產的方式。我們都知道,一旦感染了勒索病毒,病毒會加密我們電腦中所有磁碟機的檔案,包括外接硬碟、網路磁碟機都會受影響。

以下連結中的影片是備份王測試一支勒索軟體的感染過程

詳細說明:http://blog.backupking.net/2016/08/BackupKing-2.html


部分使用者說:「我有透過雲端備了一份,重要的資料可以再拉回來!」,我們在之前的文章有提過,雲端軟體做的只是同步,勒索軟體異動了電腦的檔案,也會將加密的檔案同步到雲端 (除非雲端同步軟體上傳前已對加密的檔案進行判斷)。

雲端同步不等於備份,您用對備份方式了嗎?
http://blog.backupking.net/2017/05/sync-to-cloud-and-backup.html



Q:我是個人電腦,我應該怎麼辦?
A:快用免費版備份王,個人檔案本機備份或加密到雲端。

關於備份的重要觀念,您都用什麼方式幫電腦做備份呢?
http://blog.backupking.net/2016/08/howtobackup.html   

別再擔心勒索軟體加密電腦檔案了,來試試免費備份工具-備份王BackupKing 吧!
http://blog.backupking.net/2016/11/backupking-free.html


Q:我們是中小企業,我應該怎麼辦?
A:快買集中式備份工具,員工電腦的重要檔案一起保護!!!

使用備份王建立企業私有備份雲,避免勒索軟體威脅
http://blog.backupking.net/2016/08/private-backup.html

中小企業預備起 正面迎戰勒索軟體
http://blog.backupking.net/2016/10/netadmin-20161020.html

企業員工該如何正面對抗勒索軟體
http://blog.backupking.net/2016/10/netadmin-20161005.html

針對 WannaCry 勒索軟體的10大問題


2017/05/15這天太平靜了,我們一直以為 WanaCry 勒索軟體發作的第一個上班日我們會很忙,但事實證明,我們多想了!只要每日備份,就不怕勒索軟體!

備份王免費試用帳號申請 (至 2017/05/31)
備份王企業版五折優惠中 (至 2017/06/30)

1. 如何預防 WanaCry 勒索軟體?
1. 不開機
2. 不上網
3. 備份、備份、備份


2. 是否有防毒軟體可以全面防止 WanaCry 勒索軟體?
現在不會,未來…也不會!!! 遇到未知的變種,防毒軟體第一時間都防禦不了!!!


3. 伺服器放內網,是否比較不容易中 WanaCry 勒索軟體?
是的,但是對內和對外流量都要鎖喔,重要檔案還是需要每天用備份王做差異備份。


4.  買硬體或軟體防火牆有用嗎?
沒用、沒用、沒用,勒索軟體變種多,只透過防火牆無法即時防護。


5. 備份到NAS的網路磁碟機可以嗎?
當然沒用,勒索軟體會連同網路磁碟機一併加密。


6. 我用DROPBOX或GOOGLE DRIVE備份可以嗎?
沒用,因為異動加密後的檔案也會一併更新到雲端,你要還原很麻煩!!!

雲端同步不等於備份,您用對備份方式了嗎?

http://blog.backupking.net/2017/05/sync-to-cloud-and-backup.html


7. 有做WINDOWS更新,是否就不會中 WanaCry 勒索軟體嗎?
勒索軟體的下一步,絕對會採用其他方式攻擊,做好備份才是最重要的事情。


8. WanaCry 勒索軟體的下一步攻擊手法有可能是什麼?
其實沒有人知道 WanaCry 勒索軟體的下一步是什麼,還是透過系統漏洞? 筆者並不這麼認為,不太可能故技重施,就像名偵探不可能每次破案的方法都一樣。平時養成做好資料備份的好習慣才是最佳防禦方式!!


9. 我是個人電腦,我應該怎麼辦?
快用免費版備份王,個人檔案本機備份或加密到雲端。

→ 個人備份:http://blog.backupking.net/2016/08/howtobackup.html
→ 如何用:http://blog.backupking.net/2016/11/backupking-free.html


10. 我是中小企業,我應該怎麼辦?
快買集中式備份工具吧,用網路磁碟機的一定無一倖免喔!!!

→ 企業私有雲備份:http://blog.backupking.net/2016/08/private-backup.html

→ 中小企業預備起 正面迎戰勒索軟體:http://blog.backupking.net/2016/10/netadmin-20161020.html

→ 企業員工該如何正面對抗勒索軟體:http://blog.backupking.net/2016/10/netadmin-20161005.html

→ 為何備份王可以100分防制勒索軟體? http://blog.backupking.net/2016/09/100_12.html

雲端同步不等於備份,您用對備份方式了嗎?


隨著網際網路的成長,網路環境的頻寬越來越多,上傳下載資料都變得更快速了,各家供應商提供的「雲端檔案儲存服務」也越來越便利,空間也越來越多。許多使用者都會使用雲端同步軟體來同步電腦中的資料,一方面是為了可以在多種裝置間存取檔案,一方也是想說將檔案放一份在雲端空間當做備份。


但「雲端檔案儲存服務」只是把使用者的檔案「同步」到雲端伺服器中儲存,並不是算是真正的「備份」方式。當使用者感染勒索軟體之後,電腦中的所有特定檔案都會被加密,包含雲端檔案服務的資料夾及外接硬碟。

▼ 下圖為感染勒索病毒之測試,雲端檔案儲存服務的資料夾一併都會被勒索軟體加密


1. 直接安全備份到外接硬碟

2. 備份到Dropbox資料夾,再同步到雲端