在 WannaCry 勒索病毒肆虐时，上班第一天应该要做什幺

文： 台湾电脑网路危机处理暨协调中心 – TWCERT/CC

相信各位在整个周末都遭受到这一波 WanaCry 勒索病毒的消息轰炸，而当明天前往办公室上班时是不是也会担心自己的电脑变成一颗未爆弹，一开机就有可能感染勒索病毒，但不开机也没办法把里面的资料取出。

别慌张，在这边提供明天进到办公室后，该如何处理自己办公桌上的这颗未爆弹的步骤建议：

（如何预防资料被加密，及若遭加密后应如何处理之简易流程请参考下方之图 1 及图 2。）

1. 确认电脑无法连上网路，使用有线网路者拔除网路线，使用无线网路者亦须确保无法连上网路（例如关闭 Wifi 分享器电源或拔除 3/4G 无线网卡）。

2. 将电脑开机并长按 F8 进到安全模式，或透过外接安全的系统进行开机。

3. 若电脑开机进入一般模式，出现疑似中勒索病毒现象 (如桌面档案出现异常无法打开)，即刻拔除电源或关机 (使用笔电者请亦将笔电电池移除)，并确认电脑无法连上网路，使用有线网路者拔除网路线，使用无线网路者亦须确保无法连上网路（例如关闭 Wifi 分享器电源或拔除 3/4G 无线网卡）。

后续处置作法：

製造业想转型，一定要先换脑袋！5/24 中港台三地专家共同解密，要带你了解人工智慧协助製造业转型的最强案例！ https://goo.gl/Wvkmfj

4. 若无中勒索病毒现象，即刻将重要资料备份，备份资料离线保管。 若要确认是否有感染，可搜寻磁碟中是否有 .wncry 附档名档案，若有或疑似已中 wanacrypt0r 2.0 病毒，续照步骤 3 方式处理；若没有则可能尚未中毒 。

5. 若电脑中原无安装防毒软体，可下载微软官方所提供之防毒软体 Windows Defender，可针对系统中的恶意程式 WannaCryptor 提供侦测并清除。Windows Defender 下载位置连结 。

6. 随时更新修补程式及防毒软体至最新版本，使用防火墙并关闭不需要之通讯埠及应用程式权限，以确保电脑安全无虞，不要因为一时方便开启不必要的服务，而导致系统出现漏洞。另对防火墙及 IDS/IPS 等设定部份，建议设定可阻挡 WannaCry 所使用 MS17-010 漏洞之特徵或规则。

7. 针对此次漏洞不同作业系统版本所发布之修补程式 (点选超连结就会直接下载 )。

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 7 x64

Windows 7 x32

Windows 8 x86

Windows 8 x64

微软 MS17-010 Security Update

担心跟不上全球企业数位转型速度？专家：「先有整体策略思维，再谈转型才能成功。」整体策略如何制定？立即参与调查，拨开眼前迷雾！>>

——