勒索病毒的防範之道 -- 除了更新補丁 "防毒" , 更須 "自救" -- tools241 @ tools241 異次元空間幻境

勒索病毒的防範之道 -- 除了更新補丁 "防毒" , 更須 "自救"

1.WannaCry 勒索病毒是透過微軟 Windows SMBv1 伺服器的安全漏洞進行擴散, 建議停用 SMBv1 服務:

　 (1) Windows 7 請編輯 Win7停用SMBv1.reg (內容為下列三行) , 並在 Win7停用SMBv1.reg 按左鍵二次匯入, 然後重開機.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

"SMB1 "=dword:00000000

　 (2) 其他系統 : [控制台]==>[程式集]==>[開啟或關閉 Windows 功能]==>

　(取消勾選)[ 　][SMB 1.0/CIFS 檔案共用支援]==>[確定]==>重新啟動系統

2.建議將遠端桌面連接埠3389改成1111, 並關閉 445,135,137,138,139,1111 等連接埠, 方法如下:

編輯 Win防勒索病毒,關閉445,135,137,138,139,1111連接埠.bat (內容為下列5行), 並以系統管理員身分執行此檔:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 1111 /f

for %%f in ( 445 135 137 138 139 1111 ) do (

netsh advfirewall firewall add rule action=block protocol=TCP dir=in localport=%%f name="block TCP %%f"

netsh advfirewall firewall add rule action=block protocol=UDP dir=in localport=%%f name="block UDP %%f"

)

3.請參考文末微軟官方載點, 進行 "更新補丁".

4.避免下載不明軟體或功能誇大的軟體, 例如 XX電影播放器, 百X云下載提速器(多數無效或已失效).

5.文件副檔名不要用 .txt 改用 .ini 會相對安全,

重要的檔案可(利用免費工具VeraCrypt)存到加密映像檔, 副檔名不要取常見的, 例如取 *.VC
, 然後上傳至少兩處雲端備份.

VeraCrypt 1.17 中文版 (替代 TrueCrypt ) -- 加密映像檔 ==>

http://blog.xuite.net/tools241/blog/108046366

註: 目前 WannaCrypt 會搜索電腦中帶如下副檔名的任何文件(已知為179種):

.123 .3dm .3ds .3g2 .3gp .602 .7z .accdb .aes .ai .ARC .asc .asf .asm .asp

.avi .backup .bak .bat .bmp .brd .bz2 .c .cgm .class .cmd .cpp .crt .cs .csr

.csv .db .dbf .dch .der .dif .dip .djvu .doc .docb .docm .docx .dot .dotm .dotx

.dwg .edb .eml .fla .flv .frm .gif .gpg .gz .h .hwp .ibd .iso .jar .java

.jpeg .jpg .js .jsp .key .lay .lay6 .ldf .m3u .m4u .max .mdb .mdf .mid .mkv

.mml .mov .mp3 .mp4 .mpeg .mpg .msg .myd .myi .nef .odb .odg .odp .ods .odt

.onetoc2 .ost .otg .otp .ots .ott .p12 .PAQ .pas .pdf .pem .pfx .php .pl .png

.pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .ps1 .psd .pst .rar .raw

.rb .rtf .sch .sh .sldm .sldm .sldx .slk .sln .snt .sql .sqlite3 .sqlitedb .stc .std

.sti .stw .suo .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tbk .tgz .tif .tiff

.txt .uop .uot .vb .vbs .vcd .vdi .vmdk .vmx .vob .vsd .vsdx .wav .wb2 .wk1

.wks .wma .wmv .xlc .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .zip

加密後在文件名後會附加 .WNCRY，例如a.jpg 的圖片會被加密重命名為 a.jpg.WNCRY

6.Firefox 免安裝異空版已利用元件將可疑的網站(廣告病毒,病毒偽搜索,綁首頁,...)轉成空白頁,
請參考本人發的 "Firefox 免安裝異空版 (簡/繁/英一版通用)" ==>
https://www.firefox.net.cn/read-52082
免安裝版中的元件 (14 ) Redirector v3.1.0 ( 自訂條件轉址 ).

　
工具類網夾1(Firefox, Chrome, Avidemux影片剪輯,... ): https://sites.google.com/site/tools241/tools
工具類網夾2(Firefox, Chrome, Avidemux影片剪輯,... ): http://pan.baidu.com/s/1mgEBMkS

註: 基於 "效率" 假設「勒索病毒」會優先將副檔名較常見者(例如:*.TXT, *.JPG, *.DOC*, *.RAR,... )加密,
因此副檔名不常見者可能不會被「勒索病毒」加密, 或者會被排到最後才加密.
將 *.TXT, *.JPG, *.DOC*, *.RAR, ... 存到加密映像檔( 副檔名取*.VC或不常見者), 若加密映像檔未被
「勒索病毒」加密, 則其中的檔案便可保安全.
　
有人提出利用 "探針(定時比對特定的*.TXT或其他檔案)" 來偵測是否有「勒索病毒」正在加密檔案,
若發現問題先自動關機再做處理.

____________________________________________________________________________

微軟官方 "更新補丁" 檔案下載，KB4012598 / ...

註: 下列的*.msu檔為繁體x86版, 其他x64版或簡體版請進下列網址搜尋[KB4012598]或其他[KBxxxxxxx] ==>

http://www.catalog.update.microsoft.com

一.XP 勒索病毒預防，微軟官方XP更新檔下載更新補丁 KB4012598 ==>

繁體XP: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-KB4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe

簡體XP: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

二.Windows 7 x86 勒索軟體預防, 請依序更新:

1.Windows 7 SP1 Update Package 微軟更新修正包 (2017.03月份) ==>

https://wmos.info/archives/15595 (更新完成約須30分鐘)

2.Windows 7 勒索病毒預防，微軟官方XP更新檔下載更新補丁 KB4012215, KB4015549, KB401926 ==>

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-KB4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu