2017年5月15日 星期一

中小企 Office上班族 : WannaCry 病毒簡單隔離法

很多中小企欠缺專業 IT 人員,未必能適當處理這種危機。如果你是小員工,現在我們教大家一個最簡單的步驟快速自保。

 

(免責聲明:此文章提供建議,風險自行承擔。過程中出現任可損失,本網恕不負責)

明天回到公司,你要做的有 :

0.如果你懂得設定公司路由器規則 + 有權限設定..

請你第一位回到公司,同事未開電腦前,進入路由器封鎖 TCP UDP Port 139 及 445 、對外對內都要封,再關閉 uPnp 。設定成功後,基本上成功阻檔 Internet 入侵及隔離公司內中招電腦。如果你不懂或沒有權限,請跳下一步

1.離線備份

如果公司沒有人懂得設定路由器/防火牆的話,那就要自己來。拔除自己電腦的 LAN 線 / 關掉 Wifi 連接 ,開機後把重要文件先進行備份! 不要備份在同機的硬碟上,備份到無毒的 USB 手指/外置硬碟/SD 卡上,完成後拿走不要連接電腦

2. 為電腦做好個人防護

成功備份後,你可以安心下來。第一時間你要為自己的電腦做到隔絕措施,可以參考以下步驟

Step 1:
按 WIN + R 鍵 ,鍵入 firewall.cpl 按 enter
Step 1:
如果你 Firewall 未開啟,請按「請用建議的設定」去開啟
Step 2:
如已開啟了(綠色),請按左邊進階設定

Step 3:
左側按 輸入規則 > 右側按 新增規則

Step 4 :
選擇 通訊協定及連接埠,選 連接埠

Step 5 :
如下圖選擇 TCP , 特定本機連接埠選 445 ,139 ,下一步
Step 6:
選擇封鎖連線,下一步

Step 7:
套用所有規則,下一步

Step 8 :
隨意命名,完成
Step 9 
重覆 Step 3 至 4 , 今次我們選擇 UDP , 特定本機連接埠選 445 ,139 ,下一步。重覆 Step 6 至 8

==

緊急防護完成,現階段你可暫時使用

– 接回 Lan 線 / Wifi 上網,緊急臨時使用電腦
– 暫時不會中 WannaCry 病毒 (除非已被潛服)
-或許不能使用連接其他電腦分享的資料夾/打印機
==

完全防護,需要一點時間及經驗

– 要懂分辨 Windows 版本,並安裝相關的 MS17-010 安全更新擋,不懂的話找別人幫忙
– 下載及安裝需要一點時間,要有心理準備不能使用電腦 ,可參考 <這裡 > 
– 完成後可以於防火牆解除剛才的設定,以接通公司其他分享資源 ( Share Floder 、Printer)



老闆 / IT 同事 可能會發出奇怪指令 :

由於很多中小企未有專業 IT 人員,對於勒索軟件可能不懂應對,而發出以下一些錯誤的觀念

“今天小心點,勿亂按連結/檔案或瀏覽不明網站〞

其實這次 WannaCry 是用 Windows 漏洞進行入侵,只要你開機接通網絡,即使你甚麼也不按也會受到感染

“我家裡電腦沒事,不用太擔心〞

欠缺 IT 技術員下的網絡電腦才是高危,因為 WannaCry 只要有一台被感染,便會在整個網絡試圖感染所有電腦。

“我有備份在 D 硬碟,不用太擔心〞

只要你的電腦連接的儲存裝置都有機會被加密,不管是 D drive / 分享檔案夾 / NAS /  USB 手指 / External Harddisk / SD 咭… 除非沒有連接。

“我不管 今天你要幫我救回檔案〞

unwire 在這裡代 IT 同事向老闆或管理層們說一聲,檔案一旦被加密後是沒有方法能 100%「救」回來,只有重新在備份中提取或交付「續金」給病毒開發者,但你付款後未必保証他幫你解密。
不過你還是可以用這<方法> 中的「救 DATA 篇」,把中毒的儲存裝置拆走搬到無毒的電腦上進行 undelete 修復,但有心理準備只有部份檔案能救回來,而且掃瞄花上很多時間

“出去幫我買防毒軟件救命〞

防毒軟件不是解毒軟件,檔案一旦被加密的話是不會救回來

“我在網上找到破解檔〞

如上,暫時並沒有破解方法,所謂破解檔是假的,其實大可能是另一款惡意軟件/木馬。