您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

WannaCrypt專區

請以左右鍵切換緣起弱點說明(左邊)、影響範圍(中間)、防護建議(右邊)之頁籤

近期(自5/12)加密勒索軟體WannaCry(WanaCrypt0r 2.0) 的新型變種勒索軟體,正利用 Windows 漏洞(MS17-010漏洞)肆虐,受感染的電腦將會有大量檔案被加密,並且要求高價比特幣贖金。並且陸續出現變種軟體情況,包含取消WannaCry 1.0版內建Kill Switch停止傳播感染之設計,使其感染能力更強。因此請立即更新作業系統與防毒軟體,並注意平時資料備份作業。WannaCry勒索軟體具備主動利用此漏洞感染受害主機之能力,由別於以往勒索軟體需要受害者主動執行之情況,只要存在此漏洞之Windows主機,並且無其他阻擋防護機制下,便將受到嚴重危害。

有關Windows MS17-010漏洞,美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)對此漏洞對應之弱點編號為CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0147CVE-2017-0148

漏洞資訊

Microsoft Server Message Block 1.0 (SMBv1) 處理特定要求的方式中存在遠端執行程式碼弱點。最嚴重可讓攻擊者獲得在目標主機上執行任意程式碼的能力。
Windows SMB 資訊洩漏弱點 – CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147及CVE-2017-0148
Microsoft Server Message Block 1.0 (SMBv1) 處理特定要求的方式中存在資訊洩漏弱點。成功利用此弱點的攻擊者可能會蓄意製作封包,藉此導致伺服器資訊洩漏,以及執行任意程式。

影響系統版本

Windows XP
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012 和 Windows Server 2012 R2
Windows Server 2016

可能風險

若受影響之Windows作業系統未進行此項更新,將造成遠端攻擊者可以利用蓄意製作的訊息給Microsoft Server Message Block 1.0 (SMBv1)服務。成功利用弱點的攻擊者,可獲得在目標伺服器上執行程式碼的 能力。此波WannaCry勒索軟體即利用SMBv1服務所用之TCP 445進行攻擊

進行作業系統更新

由於此次WannaCry勒索軟體利用微軟之重大弱點進行攻擊,因此建議各機關儘速檢查所用之電腦主機是否已完成此次弱點之相關更新,修補程式下載網址:(MS17-010更新)。另外針對此次重大威脅,微軟也額外替已超過維護週期之作業系統,例如Windows XP, Windows Vista, Windows 8及Windows Server 2003等釋出修補程式, 下載網址:(KB4012598)。

阻擋SMBv1服務

建議檢視機關主要防火牆是否已確實阻擋外界對網路芳鄰之通訊埠,包含TCP 139與445。以阻擋惡意軟體利用此弱點進行攻擊之機會。

評估套用GCB設定

建議評估套用技服中心網站公告之GCB設定(目前有Windows 7與Windows 8.1),以防範駭客利用此弱點進行攻擊,說明如下:

在原生的Windows環境下,自動更新與防火牆皆會啟用,自動更新會強制下載更新及排程安裝;而防火牆的部分則會限制回應查詢,並封鎖輸入連線。因此,在套用原生的Windows GPO項目下,將可防範本次WannaCry 及針對MS17-010弱點攻擊的發生。但以下情況則無法保證防護效果。

說明1,若機關開啟例外管理項目,並將關閉防火牆設定改採用防毒軟體所搭配的防火牆工具,且未確實關閉網芳所使用之通訊埠時,則無法保證防護效果。

說明2,若機關開啟例外管理項目,並關閉自動更新或改由WSUS派送更新,且WSUS未能成功或確實派送更新項目至使用者電腦時,則無法保證防護效果。

評估關閉SMBv1服務

因SMBv1服務已為近30年之服務,使用之環境已不多,並且已有新版之SMB服務,例如SMBv2與SMBv3等。因此若不需要此服務,可考慮關閉SMBv1,參考網址:關閉SMB服務說明

勒索軟體感染應變

如不幸受到感染,請立即將受害電腦的網路連線及外接儲存裝置拔除,並關閉受害電腦無線網路。建議在清除惡意軟體前不要開啟任何檔案,或變更檔案存放位置。並提醒惡意軟體除利用漏洞主動攻擊外,也會透過欺騙使用者執行方式入侵,還請謹慎留意,勿點選來路不明之網頁連結或執行不明之可疑程式