壹.
2017年4月21日下午4點~資安通報本校多台電腦中殭屍病毒!敬請各位同仁自行點選下載iclean清除病毒!
近期發現校園網路中,多部電腦中殭屍病毒,對校園網路平寬造成嚴重影響,且會主動攻擊別台電腦,資訊組提供一個掃毒的小程式,供大家下載並解壓縮後,直接執行。
認識惡意威脅:病毒(Virus),木馬(Trojan Horse)
*透過這次資訊組掃描及公布之各處室/班級電腦或隨身碟所中的病毒碼(開頭第一個英文字)對照您電腦中常見的病毒類型!
威脅 | 定義 |
惡意軟體(Malware) | 在你不知情或未授權下偷偷放入你電腦的軟體程式,卻總是在進行惡意的行為。 |
病毒(Virus) | 就跟現實世界的病毒一樣,會自我複製、可以快速蔓延的程式。病毒被設計來破壞你的電腦、顯示非預期的訊息或圖像、破壞檔案、重新格式化你的硬碟,或佔用你電腦的儲存空間和記憶體,而可能會讓電腦變慢。 |
蠕蟲(Worm) | 一個自行運作的程式,可以將自身的副本透過網路連線、電子郵件附件檔、即時通(透過檔案分享),或是和其他惡意軟體合作來散播到其他電腦系統上。蠕蟲程式可能會封鎖某些網站不讓你連上,或竊取你電腦上所安裝應用程式的認證資料。 |
木馬 (Trojan Horse) |
會執行惡意行為但不會進行複製的程式。它可能會透過無害的檔案或應用程式進入,帶有隱藏自身和惡意行為的程式碼。當它執行時,你可能會遇到不必要的系統問題,有時可能會讓電腦失去資料。 |
垃圾郵件(Spam) | 任何透過電子郵件或即時通(IM)不請自來的訊息,是為了讓寄件者賺錢而設計。 |
網路釣魚(Phishing) | 任何企圖透過電話、電子郵件、即時通或傳真來獲得你個人資訊以竊取你的身份認證。大多數網路釣魚會企圖讓自己看起來像是一般行為,實際上卻是用於犯罪活動。 |
網址嫁接(Pharming) | 劫持一般正常網站地址或網址(例如「www.mybank.com」)的行為,將你重新導到一個看起來像原本網站的假網站。這偽造的網站會偷偷收集你所輸入的個人資料,然後用在其他可能的犯罪活動上。 |
間諜軟體(Spyware) |
在你的電腦上安裝或執行(你不知情下)監視、追蹤和回報你電子蹤跡給間諜軟體作者的軟體。它通常透過木馬程式或是成為你所選擇下載安裝軟體的一部分來安裝到電腦上。間諜軟體透過下列方式收集資訊:
|
廣告軟體(Adware) | 未經你許可下派送廣告給你(如彈跳式視窗或網路連結)的軟體。通常是透過木馬程式或是成為你所選擇下載安裝軟體的一部分來進入電腦。廣告軟件可以根據你電腦上間諜軟體追蹤你網路瀏覽習慣所收集來的資料來顯示高度針對性的廣告。 |
殭屍電腦和殭屍網路(Bot和Botnet) | 透過木馬程式秘密地放入你電腦的小程式。幕後黑手的「殭屍網路管理者」可以中央控管許多殭屍電腦,任何時候都能用來散播垃圾郵件、進行網路釣魚攻擊或執行阻斷服務(DoS)攻擊,讓網站無法被連上。殭屍網路是殭屍電腦所組成的網路。通常被用來派送垃圾郵件和網路釣魚攻擊。 |
勒索軟體(Ransomware) | 會加密文件以達到勒索目的的軟體。會為這些文件要求贖金,直到受害者購買解密金鑰,透過第三方服務來付款(如PayPal)或購買線上物品(裡面會包括金鑰)。 |
貳.
勒贖軟體WanaCrypt處理步驟 advanced systemcare 11
無論學校電腦有無防毒軟體!皆須手動更新此病毒定義檔!部分電腦有服毒軟體者~請再更新防毒軟體到最新! |
Step 1、請先移除個人電腦網路線
Step 2、確認微軟作業系統更新情形
1. 點選「開始/控制台/Windows Update/檢視更新紀錄」。
2. 檢查2017/03/15如有KB4012212或KB4012215的更新,則可連上網路,若無則依下述方式進行或請單位資訊人員協助。
Step 3、停用SMBv1服務
Windows XP、Vista、Windows 7、Server 2003、Server 2008 R2
- 執行隨身碟內[停啟用SMB 1.0]下的[停用SMBv1.reg]
- 將以下檔案存成reg並執行ß----這個就是1的動作,如果可以拿到這個檔就不用自己產生
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "SMB1 "=dword:00000000 |
- 重新啟動系統
Windows 8.1 或 Windows Server 2012 R2 (Client)
- 開啟 [控制台],按一下 [程式集],然後按一下 [開啟或關閉 Windows 功能]。
- 在 [Windows 功能] 視窗中,清除 [SMB 1.0/CIFS 檔案共用支援] 核取方塊,然後按一下 [確定] 以關閉視窗。
- 重新啟動系統。
Windows 8.1 或 Windows Server 2012 R2 (Server)
- 開啟 [伺服器管理員],然後按一下 [管理] 功能表並選取 [移除角色及功能]。
- 在 [功能] 視窗中,清除 [SMB 1.0/CIFS 檔案共用支援] 核取方塊,然後按一下 [確定] 以關閉視窗
- 重新啟動系統。
Windows 10
- 點擊左下角的[放大鏡]圖式進行搜尋,輸入[控制台] 。
- 按一下 [程式集],然後按一下 [開啟或關閉 Windows 功能]。
- 在 [Windows 功能] 視窗中,清除 [SMB 1.0/CIFS 檔案共用支援] 核取方塊,然後按一下 [確定] 以關閉視窗。
- 重新啟動系統。
Step 4、確認防毒軟體版本
點擊右下角防毒軟體圖示[滑鼠右鍵/選擇[元件版本]],確認「病毒和間諜軟體防護」定義檔為2017年5月12日以後之版本。
PS:防毒軟體的圖示也可能是藍色圓圈有個白色的波紋
Step 5、恢復網路連線
[目前學校內的電腦除了去年更換的班班數位化電腦為Windows10及校長行政用電腦!其他可能皆為Windows 7-32位元!只有少數為Windows 7-64位元!]
(建議使用)
更新方式:
點選相對更新檔,請直接安裝5月份的即可。
微軟作業系統更新方式
- 點選「開始/控制台/Windows Update/」進行更新(行政用收發公文電腦請勿使用此方法更新!!其餘教學電腦或家中電腦可以!)
- 直接下載下面連結後更新:
- Windows 7:5月份更新 (32位元、64位元)
- Windows 8.1:5月份更新 (32位元、64位元)
- Windows XP、Vista:修補更新檔!請點選xp sp3選項下載
- 綜合補丁包
叁.
-
防毒:防駭工具
-
隨身碟疑難雜症
-
移除工具
-
手動移除木馬or病毒
-
線上病毒掃描器 advanced systemcare
-
熱門病毒 red nort eset
- 免費試用