WanaCrypt0r2.0解毒、资料救援与如何预防全攻略

WanaCrypt0r 2.0 勒索软件大概是今年到现在为止最恐怖的一波勒索攻击。这支相当贪财的蠕虫病毒已经引起世界级的灾难。包含台湾也有相当严重的情。我们在前面的文章中已经说明过这波感染的严重性，世界上的安全专家们也纷纷出笼研究如何防堵这些讨人厌的蠕虫，让我们看看有哪些实用的例子。

WanaCrypt0r 2.0 如何预防

1. 花 8.29 英镑买网址挡病毒

WannaCrypt 擅长感染同个网段下的电脑，将主机所有文件档加密上锁。但一位英国人发现了一个征兆，MalwareTech 取得在英国健保署大肆破坏的 WannaCrypt 勒索软件样本，在准备进行研究，丢进隔离环境执行时，发现 WannaCrypt 会一直尝试存取某个未注册的网域名称。于是判断只要网址无法连线就会触发病毒。因此他们把这个未注册的网址注册下来，花了 8.29 英镑。结果样本自己坏了：

▲DNS 回应显示病毒对某些网址有反应。

▲初期拼命扫描 445 埠的蠕虫活动

对于刚开始的病毒来说，这招是有效的防堵招数，利用病毒自己的特性设下陷阱。不过接下来变种的病毒就不同了，相信这个招数也用不了太久。但拖住的时间用来更新系统防堵病毒还是有用的。至于现在有没有用不敢说（其实已经有变种病毒，改版速度超快），大家还是不要铁齿，立刻照本站所分享之修正方法处理比较实际（教学请点我）。

2. 禁用 SMB v1

目前无 Kill Switch 的变种版本已经破解了第一种方法，因此目前主要的防制方向是从网段感染着手。基本上目前蠕虫对于 SMBv1 通讯协定的攻破能力相当强悍。微软虽然第一时间就发表了更新，但现在风声鹤唳的情况下，上线安装是种相当有风险的动作。所以禁用 SMBv1 通讯协定会是第一线防堵的最佳办法。至于 SMBv1 的关闭方法非常简单，请进入控制台→程式→程式集→程式和功能→已安装的更新→开启或关闭 Windows 功能→ 取消 SMB 1.0/CIFS 档案共用支援。这个方法适用于 Windows 8.1 以上的系统，至于 Windows 7 则需要先进入 regedit ，进入HKEY_LOCAL_MACHINE（或HKML）\System\CurrentControlSet\Services\LanmanServer\Parameters ，在右方空白处右键，新增一个 DWORD ，并将名称命名为 SMB1，然后将资料数值设定为 0 ，最后务必重新开机就算成功：

▲禁用 SMB 目前可以防止整个局域网络通通中奖。

3.关闭 445 埠

这招其实跟第二招是同个道理，也是禁止 SMB 的使用。你可以透过 Windows 防火墙的管理功能封锁起来，如果你很熟悉网络设备，理论上在Switch 或 Router端封锁起来也是个方法。当然对一般人来说，直接从 Windows 防火墙封锁会比较简单一点：

至于平常乖乖使用，已经升级到 Windows 10 与 Creators Update 的朋友，建议还是做一些事情防止可能的威胁。

1.更新系统与防毒软件

这点其实是确定解毒后该做的防御措施，预防二次感染。目前相关病毒的解除方法已经由各大防毒软件厂商释出，也已经有了新的病毒数据库出来，辨识出病毒并删除的可能性是有的。至于系统更不用说，微软已经为 Windows XP 与 Windows 7 释出更新档，有事没事按个更新把目前最可靠的防御工事补齐是最有效的。

2.备份至少两到三份

重要资料 放在电脑里怕被蠕虫偷走，放云端怕被监看，那就多做几份吧。起码重要的资料要有两到三份备份。那些只要毁掉就回不来的资料都必须确切做好备份。不管是烧成光碟还是购入 NAS 进行备份都是有效减少损失的方案。

3. 不要乱点不明连结。

病毒的扩散来源并非只有网络，有时只是个静态连结都可能引导你进入陷阱，系统更新与病毒码更新都是初步的防御，要让系统尽可能不被打倒的方法就是不乱点陌生的连结，特别是那种通知你中奖的。

WanaCrypt0r 2.0 解毒 与资料救援

目前也有些奇葩的例子把整个电脑莫名的从被勒索的状态救回来。但这些例子都相当极端，不适合每一个人使用，只能说你可以测试看看，不代表绝对有效。现阶段的病毒行为已经解析出来， WannaCry 的运作原理是先将档案复制一份，加密后移除原始档案。也就是说其实原本的档案其实并没有被加密而是被删除，只要硬盘还有剩余空间，没被严重复写，基本上资料都可以救回来70~80%。

1.用 360 勒索蠕虫病毒文件恢复工具。

目前号称有效解除勒索状态的工具就只有这个被实测有效，透过中国科技媒体雷锋网披露后，相信应该不少人都会想要死马当活马医看看，具体来说方法就是下载该软件并安装，然后扫描硬盘找出受挟持的资料，直接解锁就可以恢复使用：

这招的问题在于，360 到底是怎么解决这个复杂的问题的？勒索软件通常采用 RSA + AES 的加密算法，破解难度极高， 360 的工具能快速做到解锁的能力到底是怎么做到的，启人疑窦。360 官方解释，透过分析该勒索软件的工作原理，利用特殊守法实现文件恢复。Wannacry 主要把原始文件读取到内存内中处理加密，但原始文件并未在这个过程中被删除，而是出现了一个加密后的副本。所以只要能找到原始文件的藏匿处就可以解除限制。但蠕虫的变种可能会更贱的把一些资料继续用垃圾资料洗过，让资料还原更困难更没有效率。

2.将系统 Format 后以资料救援软件救一遍

PTT 上的高手分享了他的研究成果，透过将硬盘 Format 过后直接用资料救援软件扫描，把真正的资料救出来。原理就跟上面说到 360 的救援效果一样，找出那个原始资料的位置然后捞出来。事实上这个原理也有位高手写了自动指令来解套。由于原理相似故放在一起谈论：

来源：http://disp.cc/m/163-9yMx

而网络知名的“狂少”他也证实了档案其实是被删除的论点，大家可以按照以下实际的救援成功案例顺序试着解毒并把档案救回。简单说就是使用干净的随身碟系统先将勒索病毒路径删除后，再使用档案救援软件救回资料：

来源：https://www.facebook.com/kevin.wu.9081323/posts/638308473032892

以实用性来看，现阶段以第三种方法的效果是最好的，使用独立于原本系统的 WinPE 开机，进入出问题的系统内，把病毒直接干掉。如同截图中所看到的一样。至于 WinPE 从哪可以弄到？这点已经算是不同的题目了，大家可以在网络上搜集资料，我们也会找机会跟大家介绍如何用 WinPE 救援系统。如果你本身没有做 WinPE 系统，可以询问平常涉猎电脑较多的朋友，不然就是抱着电脑找店家求救。

当然，目前网络上风声鹤唳，该软件目前仍然在网络上肆虐，只要是 Windows 相关系统无不中招。但 Windows 10 目前还没有问题，对大家来说，还是要保持系统更新，以及安装安全软件防堵来自网络的威胁。最近这场硬仗让资讯人员忙得人仰马翻。但别忘了就算病毒已经完全杜绝，新的病毒仍可能继续威胁着我们的资料，平时的备份与系统的更新仍需要定期进行，也最好不要在系统结束维护后仍然铁齿使用，这次问题之所以严重，就跟 Windows 7 与 XP 仍在多数企业与机关内存活的缘故，未来或许类似的威胁也会同样降临到 Windows 10 上，在这之前仍然需要保持危机意识，定期备份 重要资料 ，才能在未来的威胁中全身而退。若大家有发现更好的方法，也欢迎大家跟我们一起分享喔。

延伸阅读

WanaCrypt0r 2.0 修补 方式 Windows XP、7、8、10 全系统整理　全球灾情惨重不要铁齿

WanaCrypt0r 2.0 攻击系统漏洞　台湾成全球第二大勒索病毒受灾国家

WanaCrypt0r 2.0 解毒 、资料救援与如何预防 全攻略