※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 14:24:37
看板 AntiVirus
作者 標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 04:32:22 2017
※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
注意:此方法只能預防不能治療
如果你的檔案已經開始被加密那就不用繼續看下去了
WanaCrypt0r 2.0據說是根據微軟前陣子被揭發的MS17-010漏洞製作Exploit來加以攻擊的
所以理論上我們可以手動把會引起該漏洞的SMBv1服務關閉來讓他攻擊失敗
Windows 7/2008:
1.執行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值為0
以下是新增動作示意圖
http://imgur.com/hOk0bkH
![[圖]](http://i.imgur.com/hOk0bkH.png)
2. 重新開機
設定registry之前:
EternalBlue可攻擊成功
http://imgur.com/RIF7cXJ
![[圖]](http://i.imgur.com/RIF7cXJ.png)
設定registry之後:
EternalBlue攻擊失敗
http://imgur.com/izhUCbo
![[圖]](http://i.imgur.com/izhUCbo.png)
Windows 8以上:
1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、選 Y (預設值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 來檢查是否設定成功
6. 重新開機
如果看不太懂上面的描述
可以參考下面的圖來輸入上面的指令
http://imgur.com/x4HoZrQ
![[圖]](http://i.imgur.com/x4HoZrQ.png)
Windows XP:
請關閉網路連線內容的 File and Printer Sharing for Microsoft Networks
1. 開始 -> 設定 -> 控制台 -> 網路連線
2. 選擇你的對外連線(例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 重新開機 (似乎沒必要、但保險起見還是重開吧)
關閉前:
http://imgur.com/YD6J8eq
![[圖]](http://i.imgur.com/YD6J8eq.png)
關閉後:
http://imgur.com/5f85YBY
![[圖]](http://i.imgur.com/5f85YBY.png)
如果這服務你非用不可的話、那建議你還是換系統吧.....
不過還是奉勸大家
能安裝更新還是請盡快安裝
這只是救急法
而且只能阻擋利用此漏洞的病毒和Ransomeware
一但有變種出現你可能照樣會中招
另外關於EternalBlue的攻擊方式
可以參見我寫的簡單分析文章
有興趣的人可以看看
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
在此就先不浪費篇幅在這post了
--
貧血軟派羅傑君
http://roger6.blogspot.tw
熱血系列粉絲團
http://www.facebook.com/KunioGame
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章代碼(AID): #1P5XlQ2g (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html
※ 同主題文章:
05-12 22:56 ■ [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 00:43 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
● 05-13 04:32 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 13:29 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 18:36 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 18:48 ■ Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
推 : 不好意思,請問一下那直接升級win10就能預防嗎? 小1F 05/13 04:41
→ : 弟win7 都有自動更新,目前應該沒事...
→ : 弟win7 都有自動更新,目前應該沒事...
→ : Win10目前不會被攻擊3F 05/13 04:41
→ : 這部是更新到10就沒事,這次是利用漏洞造成的,而且很多人4F 05/13 04:42
→ : 不更新系統,平常又不備份,或者也不開防護,才會造成問題
→ : 不更新系統,平常又不備份,或者也不開防護,才會造成問題
推 : 不好意思問一下 1月多更新 現在有必要補更新嗎 上次6F 05/13 04:43
→ : 更新電腦好像死機
→ : 更新電腦好像死機
→ : 我這篇寫的是不補更新的方法、要補更新的人請參考前文8F 05/13 04:45
→ : 3月才把洞補起來,而你只更新到1月,你覺得危不危險9F 05/13 04:47
推 : 好的10F 05/13 04:47
推 : 所以說還是要先備份啊,感謝各位先進11F 05/13 04:47
→ : 機器會當你要先確認是什麼原因造成,而不是怕當機就不更新12F 05/13 04:47
→ : 總是要更新重要問題吧 雖然我也有更新到 還是怕怕的0rz13F 05/13 04:48
推 : 推14F 05/13 05:06
推 : 大大 請問win8是SMB1 false ,SMB2 true嗎?15F 05/13 05:11
→ : ^改完後
→ : ^改完後
→ : yes17F 05/13 05:13
推 : 大大再請問一下 更新了之後 要再回來開啟SMB1嗎?18F 05/13 05:19
→ : 不用改了,微軟早在去年就建議關閉了,除非你真的有需要19F 05/13 05:26
推 : 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密20F 05/13 05:28
→ : 前,感謝
→ : 前,感謝
推 : MS:你們再罵win10強制自動更新嘛22F 05/13 05:39
→ : 其實,如果沒有要開分享什麼的,可以直接關server service23F 05/13 06:08
推 : 感謝原po的用心整理24F 05/13 06:28
推 : 推推25F 05/13 06:42
推 : 五月以前我也是停用更新 之前一更新就停在搜尋更新階26F 05/13 07:17
→ : 段 然後cpu飆高 五月初心血來潮點了手動更新 又通通正
→ : 常了 怪乎 真是好險
→ : 段 然後cpu飆高 五月初心血來潮點了手動更新 又通通正
→ : 常了 怪乎 真是好險
推 : 出現拒絕存取登錄機碼該?29F 05/13 07:37
推 : 請問機碼設定完後 該從哪邊確認我有確實關閉SMB1 (win7)30F 05/13 07:59
→ : 我用netstat 還是有445 不過是0.0.0.0 listening
→ : 我用netstat 還是有445 不過是0.0.0.0 listening
→ : 可以參考我另一篇文章 執行偵測程式來確定是否有關閉SMBv132F 05/13 08:03
推 : 感謝33F 05/13 08:09
→ : 拒絕存取的是不是沒用系統管理員身分執行34F 05/13 08:16
→ : lol...用管理員也是寫拒絕存取35F 05/13 08:18
→ : 感謝推36F 05/13 08:20
推 : 管理員一樣37F 05/13 08:21
推 : 想問vista要怎麼關smb1??38F 05/13 08:21
推 : 沒推到 補脫39F 05/13 08:23
推 : 推 注意打進去的空格位置要跟原po的完全一樣40F 05/13 08:26
推 : 都沒人在看置底的防毒觀念嗎?41F 05/13 08:45
推 : 啊...我不小心用到編輯到size/small/medium/large的二42F 05/13 08:54
→ : 進位值 要怎麼辦QQ
→ : 進位值 要怎麼辦QQ
→ : 樓上,刪除重加就好了44F 05/13 08:55
推 : 樓上 請問我需要輸入什麼QQ還是重開機就好45F 05/13 08:57
→ : 樓上 我不知道你改了什麼...參考我文章裡的圖吧46F 05/13 09:05
推 : 新增dword要怎麼弄...有點不太清楚弄出來的東西要長什47F 05/13 09:10
→ : 麼樣子
→ : 麼樣子
推 : 呃呃呃就我現在數值資料是 0000 00 00 00 00想請問49F 05/13 09:10
→ : 他的預設值應該是什麼這樣
→ : 他的預設值應該是什麼這樣
→ : 阿 看到怎麼弄了 謝謝樓主51F 05/13 09:18
![[圖]](http://i.imgur.com/1cnEJzvh.jpg)
→ : 不好意思,我的電腦沒有HKLM開頭的耶...53F 05/13 09:20
→ : HKLM是HKEY_LOCAL_MACHINE的縮寫54F 05/13 09:21
→ : Vista跟Win7應該是一樣的方法,但我無法驗證
→ : Vista跟Win7應該是一樣的方法,但我無法驗證
推 : 謝謝樓樓上,找到了56F 05/13 09:27
推 : 我是Win7,改完之後Google Drive就死掉了57F 05/13 09:30
推 : 請問win7新增有分32位元跟64位元要選哪一種呢58F 05/13 09:35
推 : 一個是DWORD 一個是QWORD59F 05/13 09:38
→ : 哦哦 感謝樓上 我看出來了60F 05/13 09:40
推 : 請問其值設0 底值是採用預設16進位的嗎?61F 05/13 09:41
推 : 我win7 已成功! 另外改完googledrive 沒死掉62F 05/13 09:48
推 : 我現在還不敢開機 因為一開機就會直連WiFi ……63F 05/13 09:52
→ : 回alex 對 重開機記得去下載大大給的測試檔64F 05/13 09:57
→ : OK謝謝樓上提醒!!65F 05/13 09:59
→ : 剛剛是安裝前去裝您說的檢測檔 您說的是下面那篇的對吧
→ : 剛剛是安裝前去裝您說的檢測檔 您說的是下面那篇的對吧
推 : Vista按照Win7方法關Smb1 成功 謝謝67F 05/13 10:04
推 : 推,謝謝樓主68F 05/13 10:18
→ : 照微軟的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才對69F 05/13 10:25
推 : 按照大大的方法修改、測試檔顯示成功!感謝大大!Y70F 05/13 10:25
推 : 執行powershell要記得用系統管理員身份執行71F 05/13 10:25
→ : win8以上按win鍵,輸入powershell,滑鼠右鍵選以系統管理
→ : 員身份執行
→ : win8以上按win鍵,輸入powershell,滑鼠右鍵選以系統管理
→ : 員身份執行
推 : win7 64位元就選QWORD?74F 05/13 10:30
推 : 不 一樣選DWORD75F 05/13 10:30
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:34:52→ : 因為很多人問registry怎麼加,新增了示意圖76F 05/13 10:35
推 : 感謝I大,推77F 05/13 10:38
推 :78F 05/13 10:39
推 : 感謝原po,偵測檔顯示SMB1已關79F 05/13 10:39
推 : 請問大大 偵測城市說關閉SMB1就可以安心了嗎80F 05/13 10:39
→ : 好像推錯篇 囧
→ : 好像推錯篇 囧
推 : 感謝I大 更新太久了先關掉SMB1再來更新比較安心一點了orz82F 05/13 10:49
推 : 其值為0要怎麼打83F 05/13 10:54
推 : 樓上,新增完後右鍵就可以改了84F 05/13 10:58
推 : 感謝您的整理85F 05/13 11:05
推 : 感謝您的分享,可惜昨晚已中獎,快來分享給朋友們,謝謝86F 05/13 11:07
推 : 大大是在Parameters下還是LanmanServer新增呢圖不一樣87F 05/13 11:10
推 : 推,感謝整理,已關閉SMB188F 05/13 11:11
推 : 好的,所以電腦是64位元一樣新增32位元的就可以嗎?89F 05/13 11:15
→ : 謝謝gemini2010大大
→ : 我是已經輸入但,再跑一次還是沒顯示關閉
→ : 謝謝gemini2010大大
→ : 我是已經輸入但,再跑一次還是沒顯示關閉
Re: [問題] 445 port - 精華區 AntiVirus - 批踢踢實業坊
看起來有可能是別人中毒正在攻擊你... WORM_DELODER.A 或是
看起來有可能是別人中毒正在攻擊你... WORM_DELODER.A 或是
→ : TransportBindName也要清空嗎? 還是新增SMB1就好了呢?93F 05/13 11:19
![[圖]](http://i.imgur.com/tDk2ipah.jpg)
→ : 要打上什麼 看不太懂QAQQQ95F 05/13 11:23
推 : 兩件事是不同的吧 多做多一道安心96F 05/13 11:23
推 : 名稱為 SMB1 類型為 REG_DWORD 值為 0
推 : 名稱為 SMB1 類型為 REG_DWORD 值為 0
![[圖]](http://i.imgur.com/lb4YIbXh.jpg)
推 : yap~99F 05/13 11:26
→ : 請問L大是這樣嗎……不好意思我是電腦白痴QAQQ100F 05/13 11:26
→ : 謝謝L大!
→ : 謝謝L大!
推 : 但我這樣改完後重新開機依舊沒顯示有關閉欸102F 05/13 11:27
推 : no thanks 我也是剛剛才學會的 XDa103F 05/13 11:28
推 : 請問電腦A(win7)中獎 電腦B(win10)遠端進入電腦A 電腦B104F 05/13 11:28
→ : 會有事嗎
→ : 會有事嗎
推 : 推推 感謝各位大神!!106F 05/13 11:53
推 : XP 給推,這個服務我很多年前就關閉,度過危機 @_@107F 05/13 12:01
推 : 請問是在LanmanServer下還是Parameters下?108F 05/13 12:32
→ : 因為文字和圖片說明 是在不同資料夾
→ : 因為文字和圖片說明 是在不同資料夾
→ : Parameters下110F 05/13 12:36
推 : IMASA大請問我已經新增了,那個數值名稱要改嗎111F 05/13 12:49
→ : 他現在叫做新數值#1
→ : 他現在叫做新數值#1
→ : 改成SMB1113F 05/13 12:58
推 : 樓上 數直名稱要改成SMB1114F 05/13 12:58
→ : 還有 為什麼用手機看imgur的圖都很模糊阿?
→ : 還有 為什麼用手機看imgur的圖都很模糊阿?
推 : L大感謝你的解答116F 05/13 13:07
推 : 感謝大大的用心~~117F 05/13 13:25
推 : 已改QQ感謝118F 05/13 13:53
推 : 請問更新過了還需要改嗎?119F 05/13 14:02
推 : 電腦白痴請問關閉這個會影響到什麼功能呢 想知道自己120F 05/13 14:10
→ : 平常會不會用到 謝謝
→ : 平常會不會用到 謝謝
--
作者 imasa 的最新發文:
![]()
資料來源: 看了一下還沒人發 先來分享一下 其實每一波的馬車8 DLC發布 官方都有偷偷更改一些設定 例如DLC3時把閃電可以把飛在空中的人的滑翔翼打掉的設定取消 或是把輕量級的無敵時間稍微延長等修 …49F 24推- 花鼓跳(7D)這技巧聽說是一個叫7的人發明的,D是漂移的Drift 其原理就是原本在花鼓上做一般的特技時 特技的火噴完就後 在空中的時間就像開傘的滯空一樣慢慢飄 但是如果你做的是花鼓跳 跳完後你在空中 …
![]()
大家好,我是之前的萬分黛西 在馬車裡平常大家拿到綠龜 不是隨手扔掉 不然就是掛在車後防禦 網路上其他文章也頂多就是教你扔在狹窄的地方增加命中率 今天這篇文章就要來告訴大家怎麼樣用綠龜用的有效率 另外不 …7F 7推![]()
話先說在前頭 這絕對不是黛西公主推廣文 這天 照樣開著我的黛西公主(咦?)跑萬分房 雖然不是場場都跑在前頭 但總分也是慢慢的累積上去 不過在無意間我發現一件平常不會發生的事情: 竟然只跑第八名...不 …47F 41推![]()
先來一張圖證明自己用黛西公主破萬 有人可能會覺得這遊戲那麼久了 上萬分又沒什麼稀奇的,幾萬分的比比皆是 不過重點在於 我這一路的積分賽下來 完全沒有換過其他角色、也完全沒用過主流的毛蟲車 很多積分賽老 …44F 35推
點此顯示更多發文記錄
1樓 時間: 2017-05-13 15:56:20 (台灣)
推
05-13 15:56 TW
剛剛幫大大簡化了一下,Win7下載下來,點兩下就可以順利的加入機碼了,本人測試沒問題。imasa大大如果測試OK,可以加在自己的文章連結,分享給大家!https://mega.nz/#!Z4NwwYDR!XOsTrEy9yEYRmLcozWEDu7oPHhpSliNtDEpPuOIEHik
回列表(←)
分享