顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 14:24:37
看板 AntiVirus
作者 imasa (便當俠)
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 04:32:22 2017


※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan


注意:此方法只能預防不能治療
如果你的檔案已經開始被加密那就不用繼續看下去了

WanaCrypt0r 2.0據說是根據微軟前陣子被揭發的MS17-010漏洞製作Exploit來加以攻擊的
所以理論上我們可以手動把會引起該漏洞的SMBv1服務關閉來讓他攻擊失敗

Windows 7/2008:

1.執行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值為0
以下是新增動作示意圖
http://imgur.com/hOk0bkH
[圖]
 

2. 重新開機


設定registry之前:

EternalBlue可攻擊成功

http://imgur.com/RIF7cXJ
[圖]
 

設定registry之後:
EternalBlue攻擊失敗

http://imgur.com/izhUCbo
[圖]
 



Windows 8以上:

1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、選 Y (預設值、直接按Enter也可)

5  可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 來檢查是否設定成功
6. 重新開機

如果看不太懂上面的描述
可以參考下面的圖來輸入上面的指令

http://imgur.com/x4HoZrQ
[圖]
 


Windows XP:

請關閉網路連線內容的 File and Printer Sharing for Microsoft Networks
1. 開始 -> 設定 -> 控制台 -> 網路連線
2. 選擇你的對外連線(例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 重新開機 (似乎沒必要、但保險起見還是重開吧)

關閉前:

http://imgur.com/YD6J8eq
[圖]
 


關閉後:

http://imgur.com/5f85YBY
[圖]
 

如果這服務你非用不可的話、那建議你還是換系統吧.....
不過還是奉勸大家
能安裝更新還是請盡快安裝
這只是救急法
而且只能阻擋利用此漏洞的病毒和Ransomeware
一但有變種出現你可能照樣會中招


另外關於EternalBlue的攻擊方式
可以參見我寫的簡單分析文章
有興趣的人可以看看

http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html

在此就先不浪費篇幅在這post了

--

  貧血軟派羅傑君
    http://roger6.blogspot.tw
  熱血系列粉絲團
    http://www.facebook.com/KunioGame

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章代碼(AID): #1P5XlQ2g (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html
bignose0623: 不好意思,請問一下那直接升級win10就能預防嗎? 小1F 05/13 04:41
bignose0623: 弟win7 都有自動更新,目前應該沒事...
imasa: Win10目前不會被攻擊3F 05/13 04:41
bajiqa: 這部是更新到10就沒事,這次是利用漏洞造成的,而且很多人4F 05/13 04:42
bajiqa: 不更新系統,平常又不備份,或者也不開防護,才會造成問題
dustin79427: 不好意思問一下 1月多更新 現在有必要補更新嗎 上次6F 05/13 04:43
dustin79427: 更新電腦好像死機
imasa: 我這篇寫的是不補更新的方法、要補更新的人請參考前文8F 05/13 04:45
bajiqa: 3月才把洞補起來,而你只更新到1月,你覺得危不危險9F 05/13 04:47
dustin79427: 好的10F 05/13 04:47
bignose0623: 所以說還是要先備份啊,感謝各位先進11F 05/13 04:47
bajiqa: 機器會當你要先確認是什麼原因造成,而不是怕當機就不更新12F 05/13 04:47
gowaa: 總是要更新重要問題吧 雖然我也有更新到 還是怕怕的0rz13F 05/13 04:48
hpo14: 推14F 05/13 05:06
willy5566: 大大 請問win8是SMB1 false ,SMB2 true嗎?15F 05/13 05:11
willy5566: ^改完後
imasa: yes17F 05/13 05:13
willy5566: 大大再請問一下 更新了之後 要再回來開啟SMB1嗎?18F 05/13 05:19
imasa: 不用改了,微軟早在去年就建議關閉了,除非你真的有需要19F 05/13 05:26
bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密20F 05/13 05:28
bignose0623: 前,感謝
johnny3: MS:你們再罵win10強制自動更新嘛22F 05/13 05:39
sam613: 其實,如果沒有要開分享什麼的,可以直接關server service23F 05/13 06:08
luuuking: 感謝原po的用心整理24F 05/13 06:28
akay08: 推推25F 05/13 06:42
koala7124: 五月以前我也是停用更新 之前一更新就停在搜尋更新階26F 05/13 07:17
koala7124: 段 然後cpu飆高 五月初心血來潮點了手動更新 又通通正
koala7124: 常了  怪乎 真是好險
F16V: 出現拒絕存取登錄機碼該?29F 05/13 07:37
kohinata: 請問機碼設定完後 該從哪邊確認我有確實關閉SMB1 (win7)30F 05/13 07:59
kohinata: 我用netstat 還是有445 不過是0.0.0.0 listening
imasa: 可以參考我另一篇文章 執行偵測程式來確定是否有關閉SMBv132F 05/13 08:03
zsp8084: 感謝33F 05/13 08:09
dave9898: 拒絕存取的是不是沒用系統管理員身分執行34F 05/13 08:16
sam613: lol...用管理員也是寫拒絕存取35F 05/13 08:18
rbdgemzo: 感謝推36F 05/13 08:20
F16V: 管理員一樣37F 05/13 08:21
hc1118: 想問vista要怎麼關smb1??38F 05/13 08:21
rbdgemzo: 沒推到 補脫39F 05/13 08:23
pokerfaceid: 推 注意打進去的空格位置要跟原po的完全一樣40F 05/13 08:26
ross800127: 都沒人在看置底的防毒觀念嗎?41F 05/13 08:45
ashes0305: 啊...我不小心用到編輯到size/small/medium/large的二42F 05/13 08:54
ashes0305: 進位值 要怎麼辦QQ
imasa: 樓上,刪除重加就好了44F 05/13 08:55
ashes0305: 樓上 請問我需要輸入什麼QQ還是重開機就好45F 05/13 08:57
imasa: 樓上 我不知道你改了什麼...參考我文章裡的圖吧46F 05/13 09:05
grant4343: 新增dword要怎麼弄...有點不太清楚弄出來的東西要長什47F 05/13 09:10
grant4343: 麼樣子
ashes0305: 呃呃呃就我現在數值資料是 0000   00 00 00 00想請問49F 05/13 09:10
ashes0305: 他的預設值應該是什麼這樣
grant4343: 阿 看到怎麼弄了 謝謝樓主51F 05/13 09:18
[圖]
 
fongsi: 不好意思,我的電腦沒有HKLM開頭的耶...53F 05/13 09:20
imasa: HKLM是HKEY_LOCAL_MACHINE的縮寫54F 05/13 09:21
imasa: Vista跟Win7應該是一樣的方法,但我無法驗證
fongsi: 謝謝樓樓上,找到了56F 05/13 09:27
CaymanS: 我是Win7,改完之後Google Drive就死掉了57F 05/13 09:30
eggguy: 請問win7新增有分32位元跟64位元要選哪一種呢58F 05/13 09:35
chinhan1216: 一個是DWORD 一個是QWORD59F 05/13 09:38
eggguy: 哦哦 感謝樓上 我看出來了60F 05/13 09:40
alex90236: 請問其值設0  底值是採用預設16進位的嗎?61F 05/13 09:41
fongsi: 我win7 已成功! 另外改完googledrive 沒死掉62F 05/13 09:48
LT26i: 我現在還不敢開機  因為一開機就會直連WiFi ……63F 05/13 09:52
brovet: 回alex 對 重開機記得去下載大大給的測試檔64F 05/13 09:57
alex90236: OK謝謝樓上提醒!!65F 05/13 09:59
alex90236: 剛剛是安裝前去裝您說的檢測檔 您說的是下面那篇的對吧
hc1118: Vista按照Win7方法關Smb1 成功 謝謝67F 05/13 10:04
Tiesna0730: 推,謝謝樓主68F 05/13 10:18
hn9480412: 照微軟的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才對69F 05/13 10:25
just5566: 按照大大的方法修改、測試檔顯示成功!感謝大大!Y70F 05/13 10:25
JiRui: 執行powershell要記得用系統管理員身份執行71F 05/13 10:25
JiRui: win8以上按win鍵,輸入powershell,滑鼠右鍵選以系統管理
JiRui: 員身份執行
OAO5566: win7 64位元就選QWORD?74F 05/13 10:30
paul40807: 不 一樣選DWORD75F 05/13 10:30
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:34:52
imasa: 因為很多人問registry怎麼加,新增了示意圖76F 05/13 10:35
playerkilled: 感謝I大,推77F 05/13 10:38
gamesame7711:78F 05/13 10:39
OAO5566: 感謝原po,偵測檔顯示SMB1已關79F 05/13 10:39
kentket: 請問大大 偵測城市說關閉SMB1就可以安心了嗎80F 05/13 10:39
kentket: 好像推錯篇 囧
arco: 感謝I大 更新太久了先關掉SMB1再來更新比較安心一點了orz82F 05/13 10:49
r1426000000: 其值為0要怎麼打83F 05/13 10:54
gemini2010: 樓上,新增完後右鍵就可以改了84F 05/13 10:58
cospergod: 感謝您的整理85F 05/13 11:05
AAIOU: 感謝您的分享,可惜昨晚已中獎,快來分享給朋友們,謝謝86F 05/13 11:07
newage5566: 大大是在Parameters下還是LanmanServer新增呢圖不一樣87F 05/13 11:10
n1m5w8tsarp: 推,感謝整理,已關閉SMB188F 05/13 11:11
r1426000000: 好的,所以電腦是64位元一樣新增32位元的就可以嗎?89F 05/13 11:15
r1426000000: 謝謝gemini2010大大
r1426000000: 我是已經輸入但,再跑一次還是沒顯示關閉
qama: 請問關閉port445 https://goo.gl/JLylLx92F 05/13 11:19
Re: [問題] 445 port - 精華區 AntiVirus - 批踢踢實業坊
看起來有可能是別人中毒正在攻擊你... WORM_DELODER.A   或是
 
qama: TransportBindName也要清空嗎? 還是新增SMB1就好了呢?93F 05/13 11:19
[圖]
 
JieshinRS: 要打上什麼 看不太懂QAQQQ95F 05/13 11:23
Leaves1014: 兩件事是不同的吧  多做多一道安心96F 05/13 11:23
Leaves1014: 名稱為 SMB1  類型為 REG_DWORD  值為 0
[圖]
 
Leaves1014: yap~99F 05/13 11:26
JieshinRS: 請問L大是這樣嗎……不好意思我是電腦白痴QAQQ100F 05/13 11:26
JieshinRS: 謝謝L大!
r1426000000: 但我這樣改完後重新開機依舊沒顯示有關閉欸102F 05/13 11:27
Leaves1014: no thanks  我也是剛剛才學會的  XDa103F 05/13 11:28
silentQoo: 請問電腦A(win7)中獎 電腦B(win10)遠端進入電腦A 電腦B104F 05/13 11:28
silentQoo: 會有事嗎
bloodruru: 推推 感謝各位大神!!106F 05/13 11:53
stopbucks:  XP 給推,這個服務我很多年前就關閉,度過危機 @_@107F 05/13 12:01
simpleclean: 請問是在LanmanServer下還是Parameters下?108F 05/13 12:32
simpleclean: 因為文字和圖片說明 是在不同資料夾
imasa: Parameters下110F 05/13 12:36
ss910126: IMASA大請問我已經新增了,那個數值名稱要改嗎111F 05/13 12:49
ss910126: 他現在叫做新數值#1
saysayliam: 改成SMB1113F 05/13 12:58
LT26i: 樓上  數直名稱要改成SMB1114F 05/13 12:58
LT26i: 還有  為什麼用手機看imgur的圖都很模糊阿?
ss910126: L大感謝你的解答116F 05/13 13:07
NTbill: 感謝大大的用心~~117F 05/13 13:25
chi12345678: 已改QQ感謝118F 05/13 13:53
AirPenguin: 請問更新過了還需要改嗎?119F 05/13 14:02
happysunny: 電腦白痴請問關閉這個會影響到什麼功能呢 想知道自己120F 05/13 14:10
happysunny: 平常會不會用到 謝謝

--
※ 看板: terievv 文章推薦值: 1 目前人氣: 0 累積人氣: 824 
※ 本文也出現在看板: ott
作者 imasa 的最新發文:
  • +24 [情報] 馬車8 DLC以來最大改動:弱勢角色全面強化 - NSwitch 板
    作者: 36.225.186.65 (台灣) 2023-03-09 19:09:32
    資料來源: 看了一下還沒人發 先來分享一下 其實每一波的馬車8 DLC發布 官方都有偷偷更改一些設定 例如DLC3時把閃電可以把飛在空中的人的滑翔翼打掉的設定取消 或是把輕量級的無敵時間稍微延長等修 …
    49F 24推
  • Re: [閒聊] 瑪利歐賽車鼓跳技巧 - NSwitch 板
    作者: 36.225.212.79 (台灣) 2021-06-27 23:31:07
    花鼓跳(7D)這技巧聽說是一個叫7的人發明的,D是漂移的Drift 其原理就是原本在花鼓上做一般的特技時 特技的火噴完就後 在空中的時間就像開傘的滯空一樣慢慢飄 但是如果你做的是花鼓跳 跳完後你在空中 …
  • +7 [心得] 馬車8綠龜狙擊手黛西 - NSwitch 板
    作者: 36.225.216.136 (台灣) 2021-04-09 02:21:59
    大家好,我是之前的萬分黛西 在馬車裡平常大家拿到綠龜 不是隨手扔掉 不然就是掛在車後防禦 網路上其他文章也頂多就是教你扔在狹窄的地方增加命中率 今天這篇文章就要來告訴大家怎麼樣用綠龜用的有效率 另外不 …
    7F 7推
  • +41 [閒聊] 黛西公主賽車8-你今天黛西了嗎? - NSwitch 板
    作者: 36.229.73.243 (台灣) 2020-11-12 00:29:59
    話先說在前頭 這絕對不是黛西公主推廣文 這天 照樣開著我的黛西公主(咦?)跑萬分房 雖然不是場場都跑在前頭 但總分也是慢慢的累積上去 不過在無意間我發現一件平常不會發生的事情: 竟然只跑第八名...不 …
    47F 41推
  • +35 [心得] 馬車8黛西股(X)積分(O)上萬心得 - NSwitch 板
    作者: 36.229.73.243 (台灣) 2020-11-06 05:13:49
    先來一張圖證明自己用黛西公主破萬 有人可能會覺得這遊戲那麼久了 上萬分又沒什麼稀奇的,幾萬分的比比皆是 不過重點在於 我這一路的積分賽下來 完全沒有換過其他角色、也完全沒用過主流的毛蟲車 很多積分賽老 …
    44F 35推
點此顯示更多發文記錄
分享網址: 複製 已複製
1樓 時間: 2017-05-13 15:56:20 (台灣)
  05-13 15:56 TW
剛剛幫大大簡化了一下,Win7下載下來,點兩下就可以順利的加入機碼了,本人測試沒問題。imasa大大如果測試OK,可以加在自己的文章連結,分享給大家!
https://mega.nz/#!Z4NwwYDR!XOsTrEy9yEYRmLcozWEDu7oPHhpSliNtDEpPuOIEHik
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇