顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 15:25:38
看板 AntiVirus
作者 paul40807 (ㄧㄎ)
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 00:43:34 2017


===========================以下不重要 可skip========================

不是很確定的資訊
提供給大家做參考

剛剛爬了一下文章
疑似是利用MS17-010漏洞攻擊

本次漏洞已經在3月更新 中毒的狀況也與是否有安裝3月安全性更新大致相符
因此盲狙推斷是本漏洞造成問題


以下是本人小小整理的漏洞資訊

攻擊手法:攻擊 Microsoft Windows SMB漏洞
漏洞編號:MS17-010(CVE-2017-0143~CVE-2017-0148)
漏洞造成的問題:可遠端執行程式碼
已改善:是(整合在2017/3月安全性更新 17/3/14發佈)
受影響系統:
Windows Vista,7,8,8.1,10(1507,1511,1607),
Server 2008, 2008 R2, 2012, 2012 R2,
Windows RT


關於MS17-010: https://goo.gl/Ivx5Xr

===========================以上不重要 可skip=============================


請Windows 7 與8.1的使用者 檢查自己電腦是否有以下更新

3月安全性更新號碼
Windows 7 : KB4012215
Windows 8.1:KB4012216
4月安全性更新號碼
Windows 7 : KB4015549
Windows 8.1:KB4015550
5月安全性更新號碼
Windows 7:  KB4019264
Windows 8.1:KB4019215

已安裝上述更新(因為新的更新會包含之前月份的 只要三個有其中一個安裝成功即可)
代表有很大機會可防範此次攻擊
控制台>Windows Update>檢視更新紀錄 可查詢電腦是否有安裝成功

尚未安裝 請先斷網並按照下面方式關閉SMB再連網更新
且更新完成後 利用其他版友發文提供的腳本進行檢查(下面有附上傳送門 有幫助也麻煩
去幫忙推一下幫高調)

Windows 8沒有更新 請節哀
有時間請用Win8序號直接灌Win10以絕後患 序號通用的可直接Key in

Windows10所有版本理論上已經都安裝完成 除非您手動關閉更新

還有 請關閉 SMB 1.0/CIFS 檔案共用支援再行更新
內容方式摘錄自imasa大大的文章
若有關閉SMB的相關問題請到那篇回覆

Windows 7 以上(Win8以上有比較簡單的方法在下面)
1.按 Windows鍵+R
2.輸入regedit
3.找到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
如圖http://imgur.com/4NvwlRZ.png
[圖]
 
4.新增DWORD key SMB1,值設定為0
在空白處按右鍵>新增>DWORD(32位元)值 名稱鍵入SMB1 不管你是x86還是x64都是喔
http://imgur.com/y5z0Upk.png
[圖]
 
之後在新增的項目中按右鍵 修改
http://imgur.com/jDXmhQn.png
[圖]
 
修改資料為0
http://imgur.com/zbUqfVc.png
[圖]
 

就修改完成了
記得重新開機喔

Windows 8 以上
開啟控制台>程式集>開啟或關閉Windows功能
把SMB 1.0/CIFS 檔案共用支援勾勾取消掉就好


另外 版上有提供Windows XP的解決辦法 有需要的人可以去看
https://www.ptt.cc/bbs/AntiVirus/M.1494612265.A.EFE.html
Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 - 看板 AntiVirus - 批踢踢實業坊
XP其實也有更新檔可補MS17-010 如果之前有修改登錄檔來繼續接收 Windows Embedded POSReady 2009 的更新 3月應該就會收到 KB4012598  
 
還有 找個時間升Win10吧.....


https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html

後續有大大PO出這篇 內容有腳本提供偵測是否有中毒
建議各位使用者在更新的同時使用本腳本偵測是否病毒已潛伏在電腦中


希望大家珍貴的資料都能夠守護好



※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
: Russia
: Turkey
: Kazakhstan
: Indonesia
: Vietnam
: Japan
: Spain
: Germany
: Ukraine
: Philippines
: 等國家
: 目前影響最嚴重的國家台灣排名第二

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.142.105.177
※ 文章代碼(AID): #1P5UOwpc (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html
washi54: 我電腦一直卡在檢查更新 是因為太久沒更新嗎1F 05/13 00:46
k04121226: 42F 05/13 00:47
nightwind209: 太久沒更新會卡很久很久 像是沒在動3F 05/13 00:48
wsx26997785: 遠端關閉了、系統也更新了  512英國多家醫院也被攻擊4F 05/13 00:49
cancerstan: 可以直接用網頁更新的  http://tinyurl.com/ln68e3k5F 05/13 00:50
wsx26997785: 卡就讓卡 其實有再跑6F 05/13 00:50
GBO5: 剛剛第2輪更新下載 3個檔案67.4m下載近1HR才71%7F 05/13 00:52
GBO5: 我想說是不是大家都在下載
nekosgr93: 我是決定直接等等重灌7就順便升級10了 反正免費9F 05/13 00:54
wsx26997785: 大家都再載沒錯.... 這個論壇都再討論了10F 05/13 00:54
lingsk: 麻煩了 我有兩台筆電是連無線 會不會開機後就中獎?11F 05/13 00:54
refusekkk: 簡單說 還沒中獎的人趕快裝KB4012215這個更新12F 05/13 00:56
kenick: 直接抓離線檔更新比較快13F 05/13 00:56
qxxrbull: 有人說是MS17-006的樣子14F 05/13 00:58

我個人研判是010 006是IE相關 這次跟用IE比較無關
010是SMB伺服器 也比較符合 反正兩者都整合在3月更新就對了

rockmt: 最近感覺都衝著win7來的耶15F 05/13 00:59
RevanKai: XP:在戰100年!!16F 05/13 01:00
msun: "再"17F 05/13 01:02
oxx369: 請問已經是win10的電腦要更新什麼嗎?雖說win10蠻久了,常18F 05/13 01:03
oxx369: 常自己更新完才要求重開機,但這次鬧那麼大,有win10的災
oxx369: 情嗎..?

Win10通通被微軟愛的更新了 很少會有問題 連1507都有接受到滿滿的愛

wsx26997785: 剛更新了 怎麼查看我有沒有更新到KB4012215??21F 05/13 01:04
wsx26997785: WIN10更新吧  以防萬一
KNVSEOC: 我前幾天看到板上有人提到主動式勒索,就趕緊更新了,前23F 05/13 01:06
KNVSEOC: 天又再更新一次,只有一個更新失敗,希望沒事
nashinai: win10更新KB89083025F 05/13 01:06
lingsk: WIN10如果你都開自動更新 應該就沒問題了26F 05/13 01:06
DOUBLEPULSAR Scanning Service By Below0Day
Scan a IP to see if it is compromised by DOUBLEPULSAR ...

 
GJME: 這網站會幫你掃描這IP有沒有這次的漏洞28F 05/13 01:07
LOVEMS: win7開自動更新呢?29F 05/13 01:07
lingsk: win8哪裡可下載離線更新檔? 我知道win7要去哪找30F 05/13 01:08
KNVSEOC: 我是win7手動更新,好多年沒更新了,現在剩一個前幾天上31F 05/13 01:08
KNVSEOC: 的更新檔更新失敗
Maplekuso: 剛真的更新很慢33F 05/13 01:09
全世界都在更新
lingsk: 我把話收回 你就算自動更新 也請再去檢查是否有更新檔34F 05/13 01:09
saito2190: 我的Win8.1好久沒更新了 (抖35F 05/13 01:09
j790822: win 7有更新到四月底,目前沒異狀><36F 05/13 01:11
lingsk: 我現在很煩惱 家裡的人可能不知道狀況37F 05/13 01:11
washi54: 我現在才發現我的WIN8.1最後更新在兩年前 藥丸38F 05/13 01:11
lalafly: 為什麼掃IP就可以知道有沒有漏洞啊? 不是掃電腦系統版本39F 05/13 01:15
lalafly: 更新版本之類的
這我也不知道 大概是檢測你SMB弱點有沒有被修復吧
wsx26997785: 我剛更新完 怎沒看到KB4012215 ???41F 05/13 01:16

http://imgur.com/BkkoRza.jpg 我的有喔
[圖]
 

[圖]
 
GJME: 看他底下說明就是真的用漏洞去踹門 只是他不會在門被踹開後43F 05/13 01:17
GJME: 亂搞你電腦 大概是這樣 他有把腳本公開
zxcv820421: GJ大  你那個網站  要跑出什麼才會說沒有漏豆45F 05/13 01:19
zxcv820421: 漏洞
wsx26997785: 某島論壇有人貼圖  防毒檔下遠端攻擊47F 05/13 01:19
wsx26997785: 這波攻擊全球應該掛了數億台吧....
GJME: 好像太多人用了 網站癱瘓中 反正就會有一行字跟你說沒事啊49F 05/13 01:21
wsx26997785: 連英國醫院系統都中獎了  巴哈有貼消息50F 05/13 01:21
wsx26997785: 我3月沒更新 我直接更新5月的
EatMe37: 可以借問一下嗎 中了是不是就只剩重灌一途啊??52F 05/13 01:25
Lisawang: 5月初有更新,3月時沒更新 需要再回頭更新KB4012215嗎?53F 05/13 01:25

4月的更新有包含3月的

gn005066: 全更完了 沒有KB4012215 = =54F 05/13 01:26
[圖]
 
hsr7016: WIN8.1的也要裝KB4012215嗎? 他好像是寫適用於WIN7耶56F 05/13 01:27
cancerstan: 到控制台windows update 檢視更新紀錄 找有沒有57F 05/13 01:27
wsx26997785: 同L疑問   求幫58F 05/13 01:28
cancerstan: kb401221559F 05/13 01:28
lalafly: 掃出完顯示no doublepulsar implant detected就是沒事對60F 05/13 01:28
lalafly: 嗎?
shyin7089: 我的是KB4012216  有差嗎62F 05/13 01:28
qxxrbull: 剛看了一下 確實是010才對63F 05/13 01:29
rochiou28: #1P1S5hZq (AntiVirus)  推文有提到四月的有包含221564F 05/13 01:29
wsx26997785: 要怎麼樣才能查看到2215  沒看到他無法安心....65F 05/13 01:30

Win8.1是KB4012216

eric00169: 有些月份會包含這更新 還有win7跟8後面號碼應該不一樣66F 05/13 01:31
hn9480412: https://goo.gl/dMBOzR67F 05/13 01:32
hn9480412: KB4012215的手動更新檔
mayuyu: 這波攻擊是利用MS17-010 在被攻擊前趕快打上補丁就沒事69F 05/13 01:33
wsx26997785: 我是WIN770F 05/13 01:33
washi54: 手動更新也世界慢...我的電腦有問題嗎?71F 05/13 01:33
mayuyu: 攻擊者會掃描IP檢查port445是否開啟 如果開啟會傳送72F 05/13 01:33
mayuyu: 特製的封包從回應判斷對方的系統是否存在SMB漏洞
mayuyu: 目前研究人員發現受入侵的電腦drop勒索軟體之後
mayuyu: 竟然還會連上網路掃描其他主機的port445
GJME: 跟我圖片一樣應該就沒事啦 有空的人可以試試用未更新電腦試76F 05/13 01:33
mayuyu: 也就是受入侵的主機會變成另一台攻擊主機77F 05/13 01:33
mayuyu: 用P2P的方式繼續傳遞攻擊 所以蔓延的速度才會這麼快
k04121226: 我是9264  這是WIN7五月的安全性品質總匯套件的嗎?79F 05/13 01:34
wsx26997785: M大 真厲害80F 05/13 01:34
hsr7016: 感謝81F 05/13 01:34
GJME: 這網站 另外這漏洞對NAT後面電腦無效 所以要越過分享器來測82F 05/13 01:34
cancerstan: 感謝mayuyu解說83F 05/13 01:35
eric00169: 如果區網內有電腦share folder 你帳號也有修改權限的話84F 05/13 01:36
eric00169: 可能也會被加密 這點要注意一下
jason0808: M大 請問所以家中共用網路的電腦才會一起中的意思嗎86F 05/13 01:38
wsx26997785: 我剛剛更新了  還要回去補3月2215嗎? 我是WIN7 32位87F 05/13 01:38

4月有包含3月的

lalafly: 我電腦未更新 用網站測的結果是沒問題耶 為什麼?88F 05/13 01:38

你運氣好 可能你的網路結構其中一部份擋掉port了 但是還是快快更新吧

scos: 想不到這麼多人沒在更新 完全不能理解89F 05/13 01:39
belion: 所以,用分享器上網的,被攻擊到電腦的機率,會降低?90F 05/13 01:39
rochiou28: 沒更新應該是之前會偷偷給你升win10害的吧91F 05/13 01:39
GJME: 掃PORT就會先卡在分享器沒開PORT這關了 但不代表啥都不必做92F 05/13 01:41
nekosgr93: 因為不知道什麼時候開始有電腦一拿來第一件事就把更新93F 05/13 01:41
nekosgr93: 關掉這種觀念 所以很多人都沒更新吧
silentence: 當然是從WIN10開始的95F 05/13 01:42
GJME: 該更新的就要更新 該備份的備份 防毒加減裝 前幾篇有人是嫌96F 05/13 01:42
GJME: 防毒抓到這隻勒索病毒後太吵 就關掉防毒 整個悲劇
eric00169: 基本上分享器或硬體防火牆 沒有特別開port或導流量到98F 05/13 01:44
eric00169: 某台電腦  中獎機率會降低才是
nightwind209: 有點微妙 我開了台VM-2016/03更新的WIN7 直接撥接上100F 05/13 01:48
nightwind209: 網 用上面的網站查IP有沒有漏洞 結果說沒有 不過還
nightwind209: 是建議沒更新的人快去更新就是了
Abuse999: 現在有一台電腦還沒更新,真不知道該開電腦更新還是等幾103F 05/13 01:50
leon19790602: 話說我是第一次看到這版這麼多人..平常都小貓兩三隻104F 05/13 01:50
Abuse999: 天風頭過之後再開...105F 05/13 01:50
wsx26997785: 感謝樓主幫查詢   我不知道5月更新是不是包含了3月106F 05/13 01:50

有包含
http://imgur.com/abBdF26.png
[圖]
 

lingsk: 因為強迫升級win10 結果去年10月結束後就沒調回來吧107F 05/13 01:51
lingsk: 加上如果不懂如何下載離線更新檔 有些會出現更新卡住
kuranado: 5月的應該有包含,因為我更新完之後3月的被取代109F 05/13 01:54
charlie20083: 我全部電腦都是10 1703 超穩110F 05/13 01:55
yingalaxy: 請問2017-05每月安全性品質彙總套件 (KB4019264)111F 05/13 01:58
yingalaxy: 這個有包含了嗎??
ts00758579: 有點擔心 超久沒更QQ 現在來得及嗎113F 05/13 01:58
hn9480412: 我記得那個應該是修正預覽更新的修正114F 05/13 01:59
yingalaxy: 看到樓上回答了,感謝~~~^^115F 05/13 01:59
liu770889: 怎麼看自己有沒有更新到QQ116F 05/13 01:59

控制台>Windows Update>檢視更新紀錄 看有沒有我本文提到的那些更新號碼或KB4019264

msdie911545: win8有更新能抓嗎QQ117F 05/13 01:59

Windows 8沒有 請節哀 8.1才有

LOVEMS: 有19264 ok 睡覺去118F 05/13 01:59
zzzzoooo: 裝過5月的是不是不給裝三月了?119F 05/13 02:01

有包含 不用裝

LOVEMS: 看控置台 系統及安全性  左下角 Windows update點下去120F 05/13 02:01
yshinri: 幫補一下五月份的編號 W7: KB4019264  W8: KB4019215121F 05/13 02:01

感謝 已更新

yshinri: 啊對, 那個是 8.1 沒錯122F 05/13 02:02
leon19790602: 轉自巴哈...WIN7跟WIN8此漏洞手動更新檔123F 05/13 02:02
leon19790602: https://tinyurl.com/krhmod4
【情報】綁架病毒漏洞更新檔 @電腦應用綜合討論 哈啦板 - 巴哈姆特
[圖]
感謝10樓大大 已更新為5月更新檔 這一批綁架病毒是針對Windws 作業系統的SMB來攻擊 是針對SMB的445 port漏洞來攻擊 簡單說,W7、W8.1還沒中毒的用戶趕快去載更新檔 Windows 7 x64 Windows 7 x32  ...

 
wsx26997785: http://0rz.tw/Jj9SR    我怎沒有4019264....125F 05/13 02:05
[圖]
 
eric00169: 五月份更新會把三月份蓋過去126F 05/13 02:05
yshinri: 應該已經不是預覽了, 公佈日期是 5/9127F 05/13 02:08
sandykaoru: 借串請問如果不想連網(怕中標)但想更新的話有什麼128F 05/13 02:08
sandykaoru: 方法呢?已經很多天沒連網了應該是還沒中毒,但更新
sandykaoru: 的話好像又需要連網?

可以下載更新套件 但是現在大家都在下載 速度很慢 這裡面有分流
https://goo.gl/oPjxvx

yshinri: 剛才我的 W8.1 戳了一下更新就有看到 KB4019215131F 05/13 02:08
yshinri: 不想連網的話找台安全的電腦抓手動更新檔
liu770889: 嗚嗚 我沒有找到KB4019264 但是我剛剛有更新了133F 05/13 02:09
liu770889: 這樣還來的及嗎

不知道 靜觀其變惹 自己注意一下一週內檔案有沒有副檔名突然被改的狀況

skill1095: 可以用手機先下載安裝檔,之後安裝到電腦裡就好了135F 05/13 02:11

可以

skill1095: 補推136F 05/13 02:11
LOVEMS: wsx26997785要從原PO所說的地方去看,我有19264從你截圖137F 05/13 02:13
LOVEMS: 的地方也看不到
wsx26997785: 我怎麼跟大家不一樣  睡不著..139F 05/13 02:14
hip184184: 更新有夠慢但真的有在動,快一年沒更嚇都嚇死,感謝這140F 05/13 02:14
hip184184: 篇!!
LOVEMS: 控制台>Windows Update>檢視更新紀錄142F 05/13 02:14
skill1095: 推 , 也可以在不連網路的情況下 , 用隨身碟,行動硬碟先143F 05/13 02:18
skill1095: 備份非常重要的檔案
ctes940008: 應該有辦法離線更新?145F 05/13 02:23
bloodruru: Win7的KB4019264 我在5/10更新的 好接近 @@146F 05/13 02:24
sandykaoru: 好了解!謝謝!147F 05/13 02:25
wsx26997785: http://0rz.tw/OHXvx   還是找不到  還是我是32位元148F 05/13 02:25
[圖]
 
重開機再按一次Windows Update 你可能太久沒更新了 所以還沒更到 因為也裝不上去
LOVEMS: 我懷疑真的是32位元...你的更新表長的好不一樣149F 05/13 02:30
abc21086999: 一年沒更新是怎樣150F 05/13 02:38

會怕的話 可以暫時先停用 SMB 1.0/CIFS 檔案共用支援 MS17-010的說明中有步驟

etu4315: 請問我win8.1 一次都沒更新過 要全部更新勢必要連網路 會151F 05/13 02:44
etu4315: 不會更新期間中獎....
可以先停用我上面說的那個選項 更新完再打開
wsx26997785: 更新中153F 05/13 02:44
aegis43210: 先進到安全模式,把重要資料備份,再全部更新154F 05/13 02:47
klarc: 已經被勒索加密的檔案進入安全模式也救不回來了 是這樣嗎155F 05/13 03:00

是,除非付贖金(不建議),以後請勤做異地備份
klarc: 好吧 我還傻傻的插了usb 也馬上中標 惟一的備份也付之一炬156F 05/13 03:06
klarc: 我算電腦白痴 遭逢此劫也只能認了
qawstheone: 不能更新5月的怎麼辦QQ只利用網址更新到3月的158F 05/13 03:07
有3月的就已經堵起來了
AirPenguin: 請問更新有搜到5月的 沒有3.4月的正常嗎?159F 05/13 03:08
AirPenguin: 更新過會覆蓋?
正常 更新都會包含之前所有的
x526542012: 沒有重開機的話 漏洞還是能先補起來?161F 05/13 03:17
nk950357: 還好win10升級到1703162F 05/13 03:23
sora0115: 我電腦白痴想請問一下 現在是用手機下載更新檔 電腦先斷163F 05/13 03:23
sora0115: 網安裝並降低使用者權限這樣對嗎?
可以暫時先停用 SMB 1.0/CIFS 檔案共用支援 然後用手機下載傳過去更新 電腦建議
先斷網
algebraic: 原來我更新一直卡在檢查是這個緣故 已經卡3小時了..165F 05/13 03:26
dukurocute: 推 感謝整理166F 05/13 03:31
zxcv88818: 防毒每隔10分就跳警告 可是目前都還沒有異常發生 是不167F 05/13 03:32
zxcv88818: 他成功檔下來了
zxcv88818: 是否等我補完更新檔 重新開機就不會中了

這部分我不確定 因為目前沒有看到病毒解法跟詳細資料 只知道攻擊手法跟堵漏洞
至於如果已經被入侵是否會持續運作還是不會 就麻煩你看一下你的檔案情況
如果沒有持續惡化就應該是有擋下來 之後進入安全模式清除即可 並建議重灌確保安全

sora0115: 謝謝170F 05/13 03:34
arabia: 那個…不好意思偷問一下,請問盜版的win7也可以更新嗎?我171F 05/13 03:39
arabia: 是電腦白痴…

可以 可是有可能因為更新之後就被發現盜版 真心建議您還是去買個Win10吧
3.5K台幣用一生真的不貴
SeaForest: 樓上可以173F 05/13 03:43
hip184184: 問一下下載完成後,安裝更新一直卡在71%一個多小時是174F 05/13 03:47
hip184184: 正常的嗎..
Windows Update正常發揮 嫌太久可以重開機再安裝
arco: 請問去下載更新檔後一直卡在搜尋電腦上的更新也是正常的嗎?176F 05/13 03:52
同上 Windows Update 正常發揮 重開機有機率解決此類問題

然後現在很多人都搶著裝 微軟的server應該爆炸了 俄羅斯超慘 歐美都有不小的災情
所以下載跟搜尋可能都比較慢 建議手動安裝 茫茫推文中應該找的到我PO的分流網址
arco: 感謝P大!!先來重開機~177F 05/13 04:12
kisakisa: 今天才把顯示卡維修回來,復原>裝完之前整合的三月份更新178F 05/13 04:15
kisakisa: 7SP1x64Update1703 重裝小紅傘 然後就中毒了 整個無言
你在裝更新之前應該就中毒了 因為這次的病毒會掃漏洞 一台一台打 這樣
jerrylin: 所以沒有xp?180F 05/13 04:31

有LA 只是微軟放生很久了 早就放生了也沒必要寫進MS安全報告了

kisakisa: 感謝paul大回答 等等只好拔網路線再用復原一次了 12hr內181F 05/13 04:36
kisakisa: 要復原兩次QQ 現在先把重要更新找好
dustin79427: 借問一下 2017 年1月更新後停止更新 建議更新到最新183F 05/13 04:39
dustin79427: 嗎 我有一次更新就好像卡機 還好可以回溯

要要要要要要要要要要要要要要要要要要要

ImMACACO: 感謝原po的精闢解析,放心多了185F 05/13 04:50
sam613: 關SMBv1不會影響檔案分享,上個月就注意到這個漏洞186F 05/13 05:46
akay08: 推推187F 05/13 06:34
tornadodoyle: 請教一下… 先前win7重灌後,工程師(?)建議我不188F 05/13 07:46
tornadodoyle: 要更新,以免拖慢電腦速度,所以沒更新很久了。如果
tornadodoyle: 更新?還是必須讓windows update自動檢查,讓它下載
tornadodoyle: 歷來的所有更新?謝謝!
tornadodoyle: 【抱歉,app操作不穩,請幫我刪除重複推文,感謝。
tornadodoyle: 】
OK已刪除

工程師的部分講難聽一點叫他屁股自己擦 因為是他叫你不要更新的
你個人怕中毒的話  可以按照微軟官方的指示關閉SMB檔案傳輸
關閉的步驟在上面本文中MS17-010漏洞說明點進去之後拉到最下面就有了


Pmking: 建議你回去問工程師 會比隔空抓藥更準194F 05/13 08:02
Pmking: 急用的話先按文章把漏洞關起來
Pmking: 資料備份最重要 如果你的資料連升級硬體的錢都不值 那當然
Pmking: 繼續裸奔用舊機器了
O10lOl01O: 我是變腦白痴 感覺好恐怖...趕快裝了KB4012215 =.=198F 05/13 08:13
kusokk: 請問一下,如果太久沒更新的,直接下載五月份的更新檔199F 05/13 08:14
O10lOl01O: http://imgur.com/a/kIYwc200F 05/13 08:15
[圖]
 
O10lOl01O: 請問一下 我這樣應該就可以安心了吧?201F 05/13 08:15
kusokk: 執行安裝後,卡在 "正在搜尋這部電腦的更新" 是正常的嗎?202F 05/13 08:15
kusokk: 卡好久了

您自己都說太久沒更新了 現在全世界有一堆人跟你一樣在搶更新 有點軟公司的伺服器
大概被DDoS了 流量早就爆炸了 XDDDD

amudi: 沒有XP 該說運氣好?204F 05/13 08:26

XP其實會中 是早就被放生了 而且現在還留下來用XP的基本上都是特殊用途的電腦居多
可能在網路環境就擋掉掃port 所以才免於攻擊

fuhaho: 更新到了 感謝>w<205F 05/13 08:28
LightEcho: 只要kb 4019264有更新成功就行了嗎?206F 05/13 08:32
kusokk: 卡在這裡 https://img.kekeke.cc/t/xgxnllXBzd.jpeg207F 05/13 08:35
[圖]
 
kusokk: 取消也沒反應,正常的情形嗎?208F 05/13 08:36


luuuking: 如果電腦從沒更新過,有沒有可能在更新過程中中獎啊?209F 05/13 08:36
luuuking: 這樣子是不是用win10載完手動更新再拿隨身碟去比較保險
luuuking: ?

不用啦 SMB關起來就好惹

alkahest: 剛剛也是卡很久 但會突然一下子就裝完惹212F 05/13 08:42
coya: 電腦苦手,也跟樓上的想法一樣..213F 05/13 08:50
bee13014125: NO DOUBLEPULSAR Implant Detected214F 05/13 08:51
bee13014125: 請問檢測網站跑完出現這樣的事情,代表沒事?
bee13014125:                           *訊息
kusokk: alk大請問卡很久是多久?有一個小時以上嗎?217F 05/13 08:54
chachabetter: 請問VM沒更新但是有啟用跟HOST的SharedFolders那麼V218F 05/13 08:54
chachabetter: M中獎的話HOST也會死嗎?
我不是很確定 對VM的網路架構不熟
birdd: 請問有更新Windows 7 : KB4012215 這樣就可以了嗎@@?220F 05/13 08:54
alkahest: 欸...沒有...221F 05/13 08:58
alkahest: 我超久沒更新 然後下載五月份的 一開始大概卡個十分鐘
birdd: 還是要繼續更新4019264@@?223F 05/13 09:01
alkahest: 然後再跑#1P5amuty imasa大提供的偵測軟體沒事(224F 05/13 09:01
kusokk: 我卡了半小時以上了= =一年多沒更新225F 05/13 09:05
kusokk: 按取消也沒反應
alkahest: 一年多...它該不會再更新這幾包前還需要先更新其他東西227F 05/13 09:06
好像是這樣吧
magier: win7更新很兩光。後來都自己用WSUS更新228F 05/13 09:15
agreerga: 最近可能會買新電腦 如果一開始裝好系統沒更新前會中嗎?229F 05/13 09:16

把SMB關掉 上面有寫方法
rofellosx: 買硬體幫你撥號上網被攻擊會降低很多很多..230F 05/13 09:24
chinhan1216: 好險我根本有更新軟體強迫症...231F 05/13 09:26
Visnjic: 還沒被綁架的就是快點去更新就對了? Win7買來到現在都沒232F 05/13 09:43
Visnjic: 更新過

對 關SMB之後去更新 我內文剛剛有大修改了

kusokk: 重開機後就可以安裝了..已更新完畢。234F 05/13 09:43
askaa: 請教一下平時有遠端桌面需求 smb關掉後仍可繼續使用嗎? xp235F 05/13 09:45
不影響吧 等我測試

5/13 9:56更新
不影響喔
http://imgur.com/0ToYBu5.png
[圖]
 


Comebuy: \⊙▽⊙/\⊙▽⊙/\⊙▽⊙/236F 05/13 09:55
birdd: 弱弱問一下 下載更新之後可以和以前一樣使用電腦了嗎@@?237F 05/13 09:59
可以不用提心吊膽 但是還是要保持好習慣喔
Visnjic: http://i.imgur.com/QYBi628.jpg 先強上3月的安全性更新238F 05/13 10:01
[圖]
 
Visnjic: 在來慢慢更新 超乾淨的更新紀錄239F 05/13 10:01
birdd: 謝謝paul大大!! 好緊張啊~240F 05/13 10:01
pila4111: 為什麼我沒有SMB開啟關閉的那個選項...241F 05/13 10:02
seeking: 同樓上  我也沒有關閉SMB的選項242F 05/13 10:03
請參考這篇
https://www.ptt.cc/bbs/AntiVirus/M.1494621146.A.0AA.html
Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 - 看板 AntiVirus - 批踢踢實業坊
注意:此方法只能預防不能治療 如果你的檔案已經開始被加密那就不用繼續看下去了 WanaCrypt0r 2.0據說是根據微軟前陣子被揭發的MS17-010漏洞製作Exploit來加以攻擊的 所以理論上我們可以手動把會引起該漏洞的SMBv1服務關閉來讓他攻擊失敗 Windows 7/2008:
 

Win7好像沒有這個選項 拍謝 我等等更新
flora11883: 我沒有SMB選項可以關掉耶? why ?243F 05/13 10:04
chinhan1216: 早就更新的 還要關SMB嗎244F 05/13 10:05
chinhan1216: 這個功能關掉會影響什麼呢?
不用關
Zenii: smb 1.0關掉之後 影響XP的就網路硬碟跟網路芳鄰功能不能動246F 05/13 10:09
stewartqq: 感謝大大!!!!!已更新完成~~~我推~247F 05/13 10:10
LightEcho: 之前就更新到五月 又照著上面的方式關掉smb會怎樣嗎?248F 05/13 10:43
基本上之前就更新的可以不用關啦.....
Exc4liboor: 我先更新完後才去關SMB會怎樣嗎249F 05/13 10:51

去這篇看一下你GG了沒
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html


seeking: 大推這篇   感謝250F 05/13 10:51
junc0: 請問電腦win7關睡眠狀態但有連網會不會中呀qq 公司電腦..251F 05/13 10:52

應該是不會啦不過也可能早就被潛伏了......
ariawind: 連網用WINDOWS UP更新,不斷網可以嗎?252F 05/13 11:00
關SMB 詳情看內文
※ 編輯: paul40807 (220.142.105.177), 05/13/2017 11:01:38
o030227: 關smb 更新完後需要把他打開嗎?沒開對電腦作業有差嗎?平253F 05/13 11:05
o030227: 常只是拿他來上網和放資料而已

感覺你用不到這功能
johnsky75: 感謝!!255F 05/13 11:05
saniao: 大推 但想問已中是否無解了..256F 05/13 11:10
cookiebear: 我比較好奇中華電信防駭守門員在這次實戰中防堵能力如257F 05/13 11:13
cookiebear: 何?請問有人可以分享嗎?


qazqaz: 感謝分享 已裝3、4月更新 趕緊來更新5月的..259F 05/13 11:28
amy0sham: 想請問最近的勒索病毒對正版的win7有攻擊性嗎?現在不敢260F 05/13 11:29
amy0sham: 開機確認,但是平常關機時都會自動更新,這樣逃的過嗎

正版盜版比較無關 與是否有更新比較有關
qazqaz: 可以先斷網看看update有沒有安裝過3月以後的紀錄262F 05/13 11:30
keroroxc: 五年來沒更新過 怕 正在更新KB4019264263F 05/13 11:33
mikeway: 推264F 05/13 11:34
furnaceh: Win7中兩次,就升到Win10了,再買一顆外接硬碟,平常不265F 05/13 11:36
furnaceh: 接電腦
furnaceh: 怕惹,差點照片全沒,還好老家電腦有最後一份備份
hms5232: 8.1沒有安裝也找不到KB4012216@@但有KB4015550268F 05/13 11:39
hms5232: 喔喔看到後面了 原來被五月的蓋過去了 那我還要更新五月
hms5232: 的嗎?因為我會怕有BUG通常會等出了之後約一週才更新
wsx26997785: 請問關SMB XP也是一樣步驟嗎271F 05/13 11:42

XP不清楚 手邊沒有XP裝置 麻煩請自己摸索或爬文了
Gmarket: 推簡單易懂!照上面skill大的建議先用手機下載更新檔,再272F 05/13 11:50
Gmarket: 把檔案拖到筆電裡,完全不需要開網路也能更新!
KUNGFUPANDA 
KUNGFUPANDA: 我的WIN8.1 的windows update已沒有可用更新274F 05/13 11:58
KUNGFUPANDA: 可是我在更新紀錄中找不到KB4019215耶
KUNGFUPANDA: 有了 我的數字壞掉....
itachi0609: 我有更新到5月但是更新號碼不一樣欸@@ 下載更新檔他說277F 05/13 12:06
itachi0609: 不適用我的電腦 這是已經更新過的意思嗎
可能是 反正update按到沒有重要更新就好了
※ 編輯: paul40807 (223.138.165.50), 05/13/2017 12:11:14
cywec: 只要更新5月的即可,剛先裝5月,再裝4月就說更新不適合279F 05/13 12:12
sounan: 我也跟樓上一樣 有更新到五月可是號碼是KB3開頭 囧280F 05/13 12:13
sounan: 但看來應該是沒事
heather0116: 電腦白痴,win10自動更新之前被店員關了,怎麼重新282F 05/13 12:14
heather0116: 打開自動更新呢?
我人在外面 暫時沒辦法幫你看 看有沒有版友能遠端幫忙看看的
※ 編輯: paul40807 (223.138.165.50), 05/13/2017 12:18:51
cywec: 樓上,點開始裡的左下角的齒輪進去就有更新選項了284F 05/13 12:23
店員可能會關整個服務 這樣不知道可不可以簡單就手動啟動
※ 編輯: paul40807 (223.138.165.50), 05/13/2017 12:25:27
lovecoffee: 我的是KB4019215286F 05/13 12:30
lovecoffee: 爬文沒看錯應該是OK?
lovecoffee: http://i.imgur.com/VKu8cB2.jpg
lovecoffee: 另外我windows defender的定義更新一直失敗  有解嗎289F 05/13 12:32
lovecoffee: ?@@
best0811: 看來災情嚴重了~新聞有報嗎?291F 05/13 12:37
danterip: 請問檢查更新跑超久是正常的嗎 感覺卡住了292F 05/13 12:46
garrygt4: 版大好,剛剛關閉了SMB1之後先跑了自動更新,但跑太久所以293F 05/13 13:00
garrygt4: 手動去抓了上面三個更新檔,安裝過程都顯示說不適用於此
garrygt4: 電腦,但檢查更新紀錄並沒有看到以上三個,這樣是否代表仍
garrygt4: 已經安裝了呢?

如果出現不適用可能已經安裝
或者是你的電腦已經太久沒更新 那就放著讓它慢慢抓

KUNGFUPANDA 
KUNGFUPANDA: lovecoffee 你更新的沒錯 windows defender是防毒297F 05/13 13:02
KUNGFUPANDA: 你可以改用其他防毒 不一定要使用windows內建的
KUNGFUPANDA: 版上有推防毒你可以去看看 我個人使用F-Secure
z99831: 用windows update跑正在檢查更新一小時了 完全沒反應……300F 05/13 13:04
z99831: …
Linlewis: 大推 感謝樓主302F 05/13 13:11
LT26i: win8沒有更新  請問該怎麼辦??  (已經關閉SMB1了)303F 05/13 13:20

先確認是8還是8.1 Win8的話關閉SMB v1應該可以避避風頭 但是只有這次
微軟3月改掉的漏洞非常多 而且都是重要漏洞
請盡速升級到Win10

Adven: 微軟網頁 https://goo.gl/QqI4I2304F 05/13 13:27
Adven: 輸入原PO給的更新號碼 應該可以抓到更新檔案305F 05/13 13:28
※ 編輯: paul40807 (220.142.105.177), 05/13/2017 13:49:55
revolute: 感謝整理306F 05/13 13:44
wsx26997785: 更新了 沒有找到KB4019264307F 05/13 13:47
wsx26997785: 最見鬼的是我WIN7 32位元 去微軟抓X86 KB4019264
wsx26997785: 竟然不給我裝 說此更新不適用於我電腦
※ 編輯: paul40807 (220.142.105.177), 05/13/2017 14:12:21
acc06: 請問server 2008哪裡可以下載離線更新檔310F 05/13 14:11
Adven: 不知微軟網站是否被擠爆 我自己抓離線更新也不是很好連上311F 05/13 14:12
tr10272005: 推 感謝樓主312F 05/13 14:17
apple830927: W7只更新到1月...我有先按上面步驟修改了,那現在怎313F 05/13 14:23
apple830927: 麼下載更新??
lkshfish: 新增DWORD被說無法寫入怎麼辦?315F 05/13 14:28
alkahest: 原po原文有給網址輸入更新代碼尋找阿316F 05/13 14:31
confri427: 請問SMB關掉裝好更新之後,有需要改回來嗎?317F 05/13 14:35
lkshfish: 哦哦 原來是要更新才要新增DWORD 感謝318F 05/13 14:37
lovecoffee: 感謝樓主!319F 05/13 15:01
wsx26997785: 幹嘛改回來 就像外面有殭屍再那晃  把SMB鐵門關起來320F 05/13 15:06
Carpro0329: 感謝整理321F 05/13 15:17

--
※ 看板: terievv 文章推薦值: 2 目前人氣: 0 累積人氣: 4493 
※ 本文也出現在看板: ott 以及 1 個隱藏看板
作者 paul40807 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
( ̄︶ ̄)b justif, et79210 說讚!
1樓 時間: 2017-05-13 20:29:35 (台灣)
  05-13 20:29 TW
https://www.theguardian.com/technolo...ead-of-ransomware-cyber-attack
最新消息,應該暫時不會再有新的電腦中了
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇