作者imasa (便当侠)
看板AntiVirus
标题Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统
时间Sat May 13 04:32:22 2017
※ 引述《leon19790602 (())》之铭言:
: 来源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大规模攻击未更新的漏洞系统
: 不到2小时的时间中已经造成重大灾情,第一波主要的攻击目标为:
: Taiwan
注意:此方法只能预防不能治疗
如果你的档案已经开始被加密那就不用继续看下去了
WanaCrypt0r 2.0据说是根据微软前阵子被揭发的MS17-010漏洞制作Exploit来加以攻击的
所以理论上我们可以手动把会引起该漏洞的SMBv1服务关闭来让他攻击失败
Windows 7/2008:
1.执行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值为0
以下是新增动作示意图
http://imgur.com/hOk0bkH
2. 重新开机
设定registry之前:
EternalBlue可攻击成功
http://imgur.com/RIF7cXJ
设定registry之後:
EternalBlue攻击失败
http://imgur.com/izhUCbo
Windows 8以上:
1. 打开 command提示视窗、执行powershell
2. 执行 set-ExecutionPolicy Unrestricted
3. 执行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出现问你要不要修改SMB Server Configuration的确认提示、选 Y (预设值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 来检查是否设定成功
6. 重新开机
如果看不太懂上面的描述
可以参考下面的图来输入上面的指令
http://imgur.com/x4HoZrQ
Windows XP:
请关闭网路连线内容的 File and Printer Sharing for Microsoft Networks
1. 开始 -> 设定 -> 控制台 -> 网路连线
2. 选择你的对外连线(例如区域连线这种名字)、按右键选内容
3. 把 File and Printer Sharing for Microsoft Networks 旁边的勾勾取消
4. 重新开机 (似乎没必要、但保险起见还是重开吧)
关闭前:
http://imgur.com/YD6J8eq
关闭後:
http://imgur.com/5f85YBY
如果这服务你非用不可的话、那建议你还是换系统吧.....
不过还是奉劝大家
能安装更新还是请尽快安装
这只是救急法
而且只能阻挡利用此漏洞的病毒和Ransomeware
一但有变种出现你可能照样会中招
另外关於EternalBlue的攻击方式
可以参见我写的简单分析文章
有兴趣的人可以看看
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
在此就先不浪费篇幅在这post了
--
贫血软派罗杰君
http://roger6.blogspot.tw
热血系列粉丝团
http://www.facebook.com/KunioGame
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.42.160.182
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494621146.A.0AA.html
1F:推 bignose0623: 不好意思,请问一下那直接升级win10就能预防吗? 小 05/13 04:41
2F:→ bignose0623: 弟win7 都有自动更新,目前应该没事... 05/13 04:41
3F:→ imasa: Win10目前不会被攻击 05/13 04:41
4F:→ bajiqa: 这部是更新到10就没事,这次是利用漏洞造成的,而且很多人 05/13 04:42
5F:→ bajiqa: 不更新系统,平常又不备份,或者也不开防护,才会造成问题 05/13 04:43
6F:推 dustin79427: 不好意思问一下 1月多更新 现在有必要补更新吗 上次 05/13 04:43
7F:→ dustin79427: 更新电脑好像死机 05/13 04:43
8F:→ imasa: 我这篇写的是不补更新的方法、要补更新的人请参考前文 05/13 04:45
9F:→ bajiqa: 3月才把洞补起来,而你只更新到1月,你觉得危不危险 05/13 04:47
10F:推 dustin79427: 好的 05/13 04:47
11F:推 bignose0623: 所以说还是要先备份啊,感谢各位先进 05/13 04:47
12F:→ bajiqa: 机器会当你要先确认是什麽原因造成,而不是怕当机就不更新 05/13 04:47
13F:→ gowaa: 总是要更新重要问题吧 虽然我也有更新到 还是怕怕的0rz 05/13 04:48
14F:推 hpo14: 推 05/13 05:06
15F:推 willy5566: 大大 请问win8是SMB1 false ,SMB2 true吗? 05/13 05:11
16F:→ willy5566: ^改完後 05/13 05:11
17F:→ imasa: yes 05/13 05:13
18F:推 willy5566: 大大再请问一下 更新了之後 要再回来开启SMB1吗? 05/13 05:19
19F:→ imasa: 不用改了,微软早在去年就建议关闭了,除非你真的有需要 05/13 05:26
20F:推 bignose0623: 想请问如何知道电脑有无中奖?在档案尚未察觉被加密 05/13 05:28
21F:→ bignose0623: 前,感谢 05/13 05:28
22F:推 johnny3: MS:你们再骂win10强制自动更新嘛 05/13 05:39
23F:→ sam613: 其实,如果没有要开分享什麽的,可以直接关server service 05/13 06:08
24F:推 luuuking: 感谢原po的用心整理 05/13 06:28
25F:推 akay08: 推推 05/13 06:42
26F:推 koala7124: 五月以前我也是停用更新 之前一更新就停在搜寻更新阶 05/13 07:17
27F:→ koala7124: 段 然後cpu飙高 五月初心血来潮点了手动更新 又通通正 05/13 07:17
28F:→ koala7124: 常了 怪乎 真是好险 05/13 07:17
29F:推 F16V: 出现拒绝存取登录机码该? 05/13 07:37
30F:推 kohinata: 请问机码设定完後 该从哪边确认我有确实关闭SMB1 (win7) 05/13 07:59
31F:→ kohinata: 我用netstat 还是有445 不过是0.0.0.0 listening 05/13 07:59
32F:→ imasa: 可以参考我另一篇文章 执行侦测程式来确定是否有关闭SMBv1 05/13 08:03
33F:推 zsp8084: 感谢 05/13 08:09
34F:→ dave9898: 拒绝存取的是不是没用系统管理员身分执行 05/13 08:16
35F:→ sam613: lol...用管理员也是写拒绝存取 05/13 08:18
36F:→ rbdgemzo: 感谢推 05/13 08:20
37F:推 F16V: 管理员一样 05/13 08:21
38F:推 hc1118: 想问vista要怎麽关smb1?? 05/13 08:21
39F:推 rbdgemzo: 没推到 补脱 05/13 08:23
40F:推 pokerfaceid: 推 注意打进去的空格位置要跟原po的完全一样 05/13 08:26
41F:推 ross800127: 都没人在看置底的防毒观念吗? 05/13 08:45
42F:推 ashes0305: 啊...我不小心用到编辑到size/small/medium/large的二 05/13 08:54
43F:→ ashes0305: 进位值 要怎麽办QQ 05/13 08:54
44F:→ imasa: 楼上,删除重加就好了 05/13 08:55
45F:推 ashes0305: 楼上 请问我需要输入什麽QQ还是重开机就好 05/13 08:57
46F:→ imasa: 楼上 我不知道你改了什麽...参考我文章里的图吧 05/13 09:05
47F:推 grant4343: 新增dword要怎麽弄...有点不太清楚弄出来的东西要长什 05/13 09:10
48F:→ grant4343: 麽样子 05/13 09:10
49F:推 ashes0305: 呃呃呃就我现在数值资料是 0000 00 00 00 00想请问 05/13 09:10
50F:→ ashes0305: 他的预设值应该是什麽这样 05/13 09:10
51F:→ grant4343: 阿 看到怎麽弄了 谢谢楼主 05/13 09:18
53F:→ fongsi: 不好意思,我的电脑没有HKLM开头的耶... 05/13 09:20
54F:→ imasa: HKLM是HKEY_LOCAL_MACHINE的缩写 05/13 09:21
55F:→ imasa: Vista跟Win7应该是一样的方法,但我无法验证 05/13 09:24
56F:推 fongsi: 谢谢楼楼上,找到了 05/13 09:27
57F:推 CaymanS: 我是Win7,改完之後Google Drive就死掉了 05/13 09:30
58F:推 eggguy: 请问win7新增有分32位元跟64位元要选哪一种呢 05/13 09:35
59F:推 chinhan1216: 一个是DWORD 一个是QWORD 05/13 09:38
60F:→ eggguy: 哦哦 感谢楼上 我看出来了 05/13 09:40
61F:推 alex90236: 请问其值设0 底值是采用预设16进位的吗? 05/13 09:41
62F:推 fongsi: 我win7 已成功! 另外改完googledrive 没死掉 05/13 09:48
63F:推 LT26i: 我现在还不敢开机 因为一开机就会直连WiFi …… 05/13 09:52
64F:→ brovet: 回alex 对 重开机记得去下载大大给的测试档 05/13 09:57
65F:→ alex90236: OK谢谢楼上提醒!! 05/13 09:59
66F:→ alex90236: 刚刚是安装前去装您说的检测档 您说的是下面那篇的对吧 05/13 10:00
67F:推 hc1118: Vista按照Win7方法关Smb1 成功 谢谢 05/13 10:04
68F:推 Tiesna0730: 推,谢谢楼主 05/13 10:18
69F:→ hn9480412: 照微软的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才对 05/13 10:25
70F:推 just5566: 按照大大的方法修改、测试档显示成功!感谢大大!Y 05/13 10:25
71F:推 JiRui: 执行powershell要记得用系统管理员身份执行 05/13 10:25
72F:→ JiRui: win8以上按win键,输入powershell,滑鼠右键选以系统管理 05/13 10:27
73F:→ JiRui: 员身份执行 05/13 10:27
74F:推 OAO5566: win7 64位元就选QWORD? 05/13 10:30
75F:推 paul40807: 不 一样选DWORD 05/13 10:30
※ 编辑: imasa (114.42.160.182), 05/13/2017 10:34:52
76F:→ imasa: 因为很多人问registry怎麽加,新增了示意图 05/13 10:35
77F:推 playerkilled: 感谢I大,推 05/13 10:38
78F:推 gamesame7711: 05/13 10:39
79F:推 OAO5566: 感谢原po,侦测档显示SMB1已关 05/13 10:39
80F:推 kentket: 请问大大 侦测城市说关闭SMB1就可以安心了吗 05/13 10:39
81F:→ kentket: 好像推错篇 囧 05/13 10:40
82F:推 arco: 感谢I大 更新太久了先关掉SMB1再来更新比较安心一点了orz 05/13 10:49
83F:推 r1426000000: 其值为0要怎麽打 05/13 10:54
84F:推 gemini2010: 楼上,新增完後右键就可以改了 05/13 10:58
85F:推 cospergod: 感谢您的整理 05/13 11:05
86F:推 AAIOU: 感谢您的分享,可惜昨晚已中奖,快来分享给朋友们,谢谢 05/13 11:07
87F:推 newage5566: 大大是在Parameters下还是LanmanServer新增呢图不一样 05/13 11:10
88F:推 n1m5w8tsarp: 推,感谢整理,已关闭SMB1 05/13 11:11
89F:推 r1426000000: 好的,所以电脑是64位元一样新增32位元的就可以吗? 05/13 11:15
90F:→ r1426000000: 谢谢gemini2010大大 05/13 11:15
91F:→ r1426000000: 我是已经输入但,再跑一次还是没显示关闭 05/13 11:16
93F:→ qama: TransportBindName也要清空吗? 还是新增SMB1就好了呢? 05/13 11:19
95F:→ JieshinRS: 要打上什麽 看不太懂QAQQQ 05/13 11:23
96F:推 Leaves1014: 两件事是不同的吧 多做多一道安心 05/13 11:23
97F:推 Leaves1014: 名称为 SMB1 类型为 REG_DWORD 值为 0 05/13 11:24
99F:推 Leaves1014: yap~ 05/13 11:26
100F:→ JieshinRS: 请问L大是这样吗……不好意思我是电脑白痴QAQQ 05/13 11:26
101F:→ JieshinRS: 谢谢L大! 05/13 11:26
102F:推 r1426000000: 但我这样改完後重新开机依旧没显示有关闭欸 05/13 11:27
103F:推 Leaves1014: no thanks 我也是刚刚才学会的 XDa 05/13 11:28
104F:推 silentQoo: 请问电脑A(win7)中奖 电脑B(win10)远端进入电脑A 电脑B 05/13 11:28
105F:→ silentQoo: 会有事吗 05/13 11:28
106F:推 bloodruru: 推推 感谢各位大神!! 05/13 11:53
107F:推 stopbucks: XP 给推,这个服务我很多年前就关闭,度过危机 @_@ 05/13 12:01
108F:推 simpleclean: 请问是在LanmanServer下还是Parameters下? 05/13 12:32
109F:→ simpleclean: 因为文字和图片说明 是在不同资料夹 05/13 12:33
110F:→ imasa: Parameters下 05/13 12:36
111F:推 ss910126: IMASA大请问我已经新增了,那个数值名称要改吗 05/13 12:49
112F:→ ss910126: 他现在叫做新数值#1 05/13 12:49
113F:→ saysayliam: 改成SMB1 05/13 12:58
114F:推 LT26i: 楼上 数直名称要改成SMB1 05/13 12:58
115F:→ LT26i: 还有 为什麽用手机看imgur的图都很模糊阿? 05/13 12:59
116F:推 ss910126: L大感谢你的解答 05/13 13:07
117F:推 NTbill: 感谢大大的用心~~ 05/13 13:25
118F:推 chi12345678: 已改QQ感谢 05/13 13:53
119F:推 AirPenguin: 请问更新过了还需要改吗? 05/13 14:02
120F:推 happysunny: 电脑白痴请问关闭这个会影响到什麽功能呢 想知道自己 05/13 14:10
121F:→ happysunny: 平常会不会用到 谢谢 05/13 14:10
122F:推 auikolin: 我以为新增那个就直接按0,但名字改回smb1是不是还要在 05/13 15:25
123F:→ auikolin: 开一次电脑? 05/13 15:25
124F:推 tyccu: 请问这个检测软体可以用在win8上面吗?? 谢谢 05/13 15:25
125F:推 gali: 谢谢imasa大大指导! 05/13 15:28
126F:推 opoplop: 找不到HKLM...原来是简写 05/13 15:32
127F:推 SamMark: xp只要这样就没事罗 05/13 15:53
128F:推 tinomax: 已关闭,谢大大指导 :) 05/13 15:58
129F:推 yl20649: 感谢帮助 05/13 16:04
130F:推 Ertkkpoo: 请问我打开命令提示字元,无法打c:/tool?? win8.1 05/13 16:04
131F:→ Adven: HKeyLocalMachine 05/13 17:04
132F:推 bluerain5406: 谢谢 推推 05/13 17:51
133F:嘘 hhll5566: 红明显 smb1还是true的状态(win8.1) 05/13 18:06
134F:→ hhll5566: 我想请问照您的指令下去做是不是没有修改到任何设定呢 05/13 18:07
135F:→ hhll5566: 第一个指令输入後也要跳出询问的讯息 也是一样直接enter 05/13 18:08
136F:→ hhll5566: 吗?如果这样是不是都没修改到预设值吗? 05/13 18:08
137F:→ hhll5566: 恳请赐教 05/13 18:09
138F:推 hhll5566: 没事了所有是要以系统管理员身分执行? 05/13 18:12
139F:→ hhll5566: 如果是这样那就ok了 感谢您的用心 05/13 18:13
140F:推 bojinlee: 感谢提供资讯 05/13 18:16
141F:推 jack42107: 升级Win10当然可以预防啊 因为关不掉更新 05/13 18:26
143F:推 a5413eric: 是还有可以加强的? 05/13 19:30
144F:→ imasa: 暂时补强了 只剩安装更新 05/13 19:48
145F:推 a5413eric: 我是有安装KB4019264更新了 05/13 20:00
146F:推 akay08: 推推 05/13 20:46
148F:→ shaume: 什麽问题吗? 05/13 21:16
149F:→ imasa: 你这使用者可能没有管理员权限 05/13 22:20
150F:推 shaume: 我之前有照版上文章设定两个使用者,所以我是要切换到有管 05/13 22:24
151F:→ shaume: 理员权限的使用这再操作吗? 05/13 22:24
152F:推 itoh: 感谢您提供XP关掉SMB1的方法 05/13 22:37
153F:推 berton928765: 推 05/13 23:52
154F:→ abxtpml56: 谢谢分享 一生平安 05/14 00:11
155F:推 ariston: 感谢英雄出手相助 05/14 01:18
156F:→ chrise: 抱歉电脑白痴 win7重新开机後要如何知道有没有关闭smb1成 05/14 03:28
157F:→ chrise: 功 第2步骤是需要执行的吗 05/14 03:28
158F:推 Looming: 感谢分享 好人有好报 05/14 09:00
159F:推 s1032kj: 感谢 05/14 11:03
160F:推 LTJKH: 感谢大大.... 已关闭 05/14 12:20
161F:推 light531: 推 05/14 20:01
162F:推 doyouself: 谢谢imasa大的分享 05/15 08:18
163F:推 deadlyearth: 推个 感谢i大 05/15 21:16
※ 编辑: imasa (114.42.160.182), 05/15/2017 22:59:54
164F:推 ShinPing21: 感谢 05/16 14:10