作者imasa (便當俠)
看板AntiVirus
標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間Sat May 13 04:32:22 2017
※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
注意:此方法只能預防不能治療
如果你的檔案已經開始被加密那就不用繼續看下去了
WanaCrypt0r 2.0據說是根據微軟前陣子被揭發的MS17-010漏洞製作Exploit來加以攻擊的
所以理論上我們可以手動把會引起該漏洞的SMBv1服務關閉來讓他攻擊失敗
Windows 7/2008:
1.執行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值為0
以下是新增動作示意圖
http://imgur.com/hOk0bkH
2. 重新開機
設定registry之前:
EternalBlue可攻擊成功
http://imgur.com/RIF7cXJ
設定registry之後:
EternalBlue攻擊失敗
http://imgur.com/izhUCbo
Windows 8以上:
1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、選 Y (預設值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 來檢查是否設定成功
6. 重新開機
如果看不太懂上面的描述
可以參考下面的圖來輸入上面的指令
http://imgur.com/x4HoZrQ
Windows XP:
請關閉網路連線內容的 File and Printer Sharing for Microsoft Networks
1. 開始 -> 設定 -> 控制台 -> 網路連線
2. 選擇你的對外連線(例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 重新開機 (似乎沒必要、但保險起見還是重開吧)
關閉前:
http://imgur.com/YD6J8eq
關閉後:
http://imgur.com/5f85YBY
如果這服務你非用不可的話、那建議你還是換系統吧.....
不過還是奉勸大家
能安裝更新還是請盡快安裝
這只是救急法
而且只能阻擋利用此漏洞的病毒和Ransomeware
一但有變種出現你可能照樣會中招
另外關於EternalBlue的攻擊方式
可以參見我寫的簡單分析文章
有興趣的人可以看看
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
在此就先不浪費篇幅在這post了
--
貧血軟派羅傑君
http://roger6.blogspot.tw
熱血系列粉絲團
http://www.facebook.com/KunioGame
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494621146.A.0AA.html
1F:推 bignose0623: 不好意思,請問一下那直接升級win10就能預防嗎? 小 05/13 04:41
2F:→ bignose0623: 弟win7 都有自動更新,目前應該沒事... 05/13 04:41
3F:→ imasa: Win10目前不會被攻擊 05/13 04:41
4F:→ bajiqa: 這部是更新到10就沒事,這次是利用漏洞造成的,而且很多人 05/13 04:42
5F:→ bajiqa: 不更新系統,平常又不備份,或者也不開防護,才會造成問題 05/13 04:43
6F:推 dustin79427: 不好意思問一下 1月多更新 現在有必要補更新嗎 上次 05/13 04:43
7F:→ dustin79427: 更新電腦好像死機 05/13 04:43
8F:→ imasa: 我這篇寫的是不補更新的方法、要補更新的人請參考前文 05/13 04:45
9F:→ bajiqa: 3月才把洞補起來,而你只更新到1月,你覺得危不危險 05/13 04:47
10F:推 dustin79427: 好的 05/13 04:47
11F:推 bignose0623: 所以說還是要先備份啊,感謝各位先進 05/13 04:47
12F:→ bajiqa: 機器會當你要先確認是什麼原因造成,而不是怕當機就不更新 05/13 04:47
13F:→ gowaa: 總是要更新重要問題吧 雖然我也有更新到 還是怕怕的0rz 05/13 04:48
14F:推 hpo14: 推 05/13 05:06
15F:推 willy5566: 大大 請問win8是SMB1 false ,SMB2 true嗎? 05/13 05:11
16F:→ willy5566: ^改完後 05/13 05:11
17F:→ imasa: yes 05/13 05:13
18F:推 willy5566: 大大再請問一下 更新了之後 要再回來開啟SMB1嗎? 05/13 05:19
19F:→ imasa: 不用改了,微軟早在去年就建議關閉了,除非你真的有需要 05/13 05:26
20F:推 bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密 05/13 05:28
21F:→ bignose0623: 前,感謝 05/13 05:28
22F:推 johnny3: MS:你們再罵win10強制自動更新嘛 05/13 05:39
23F:→ sam613: 其實,如果沒有要開分享什麼的,可以直接關server service 05/13 06:08
24F:推 luuuking: 感謝原po的用心整理 05/13 06:28
25F:推 akay08: 推推 05/13 06:42
26F:推 koala7124: 五月以前我也是停用更新 之前一更新就停在搜尋更新階 05/13 07:17
27F:→ koala7124: 段 然後cpu飆高 五月初心血來潮點了手動更新 又通通正 05/13 07:17
28F:→ koala7124: 常了 怪乎 真是好險 05/13 07:17
29F:推 F16V: 出現拒絕存取登錄機碼該? 05/13 07:37
30F:推 kohinata: 請問機碼設定完後 該從哪邊確認我有確實關閉SMB1 (win7) 05/13 07:59
31F:→ kohinata: 我用netstat 還是有445 不過是0.0.0.0 listening 05/13 07:59
32F:→ imasa: 可以參考我另一篇文章 執行偵測程式來確定是否有關閉SMBv1 05/13 08:03
33F:推 zsp8084: 感謝 05/13 08:09
34F:→ dave9898: 拒絕存取的是不是沒用系統管理員身分執行 05/13 08:16
35F:→ sam613: lol...用管理員也是寫拒絕存取 05/13 08:18
36F:→ rbdgemzo: 感謝推 05/13 08:20
37F:推 F16V: 管理員一樣 05/13 08:21
38F:推 hc1118: 想問vista要怎麼關smb1?? 05/13 08:21
39F:推 rbdgemzo: 沒推到 補脫 05/13 08:23
40F:推 pokerfaceid: 推 注意打進去的空格位置要跟原po的完全一樣 05/13 08:26
41F:推 ross800127: 都沒人在看置底的防毒觀念嗎? 05/13 08:45
42F:推 ashes0305: 啊...我不小心用到編輯到size/small/medium/large的二 05/13 08:54
43F:→ ashes0305: 進位值 要怎麼辦QQ 05/13 08:54
44F:→ imasa: 樓上,刪除重加就好了 05/13 08:55
45F:推 ashes0305: 樓上 請問我需要輸入什麼QQ還是重開機就好 05/13 08:57
46F:→ imasa: 樓上 我不知道你改了什麼...參考我文章裡的圖吧 05/13 09:05
47F:推 grant4343: 新增dword要怎麼弄...有點不太清楚弄出來的東西要長什 05/13 09:10
48F:→ grant4343: 麼樣子 05/13 09:10
49F:推 ashes0305: 呃呃呃就我現在數值資料是 0000 00 00 00 00想請問 05/13 09:10
50F:→ ashes0305: 他的預設值應該是什麼這樣 05/13 09:10
51F:→ grant4343: 阿 看到怎麼弄了 謝謝樓主 05/13 09:18
53F:→ fongsi: 不好意思,我的電腦沒有HKLM開頭的耶... 05/13 09:20
54F:→ imasa: HKLM是HKEY_LOCAL_MACHINE的縮寫 05/13 09:21
55F:→ imasa: Vista跟Win7應該是一樣的方法,但我無法驗證 05/13 09:24
56F:推 fongsi: 謝謝樓樓上,找到了 05/13 09:27
57F:推 CaymanS: 我是Win7,改完之後Google Drive就死掉了 05/13 09:30
58F:推 eggguy: 請問win7新增有分32位元跟64位元要選哪一種呢 05/13 09:35
59F:推 chinhan1216: 一個是DWORD 一個是QWORD 05/13 09:38
60F:→ eggguy: 哦哦 感謝樓上 我看出來了 05/13 09:40
61F:推 alex90236: 請問其值設0 底值是採用預設16進位的嗎? 05/13 09:41
62F:推 fongsi: 我win7 已成功! 另外改完googledrive 沒死掉 05/13 09:48
63F:推 LT26i: 我現在還不敢開機 因為一開機就會直連WiFi …… 05/13 09:52
64F:→ brovet: 回alex 對 重開機記得去下載大大給的測試檔 05/13 09:57
65F:→ alex90236: OK謝謝樓上提醒!! 05/13 09:59
66F:→ alex90236: 剛剛是安裝前去裝您說的檢測檔 您說的是下面那篇的對吧 05/13 10:00
67F:推 hc1118: Vista按照Win7方法關Smb1 成功 謝謝 05/13 10:04
68F:推 Tiesna0730: 推,謝謝樓主 05/13 10:18
69F:→ hn9480412: 照微軟的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才對 05/13 10:25
70F:推 just5566: 按照大大的方法修改、測試檔顯示成功!感謝大大!Y 05/13 10:25
71F:推 JiRui: 執行powershell要記得用系統管理員身份執行 05/13 10:25
72F:→ JiRui: win8以上按win鍵,輸入powershell,滑鼠右鍵選以系統管理 05/13 10:27
73F:→ JiRui: 員身份執行 05/13 10:27
74F:推 OAO5566: win7 64位元就選QWORD? 05/13 10:30
75F:推 paul40807: 不 一樣選DWORD 05/13 10:30
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:34:52
76F:→ imasa: 因為很多人問registry怎麼加,新增了示意圖 05/13 10:35
77F:推 playerkilled: 感謝I大,推 05/13 10:38
78F:推 gamesame7711: 05/13 10:39
79F:推 OAO5566: 感謝原po,偵測檔顯示SMB1已關 05/13 10:39
80F:推 kentket: 請問大大 偵測城市說關閉SMB1就可以安心了嗎 05/13 10:39
81F:→ kentket: 好像推錯篇 囧 05/13 10:40
82F:推 arco: 感謝I大 更新太久了先關掉SMB1再來更新比較安心一點了orz 05/13 10:49
83F:推 r1426000000: 其值為0要怎麼打 05/13 10:54
84F:推 gemini2010: 樓上,新增完後右鍵就可以改了 05/13 10:58
85F:推 cospergod: 感謝您的整理 05/13 11:05
86F:推 AAIOU: 感謝您的分享,可惜昨晚已中獎,快來分享給朋友們,謝謝 05/13 11:07
87F:推 newage5566: 大大是在Parameters下還是LanmanServer新增呢圖不一樣 05/13 11:10
88F:推 n1m5w8tsarp: 推,感謝整理,已關閉SMB1 05/13 11:11
89F:推 r1426000000: 好的,所以電腦是64位元一樣新增32位元的就可以嗎? 05/13 11:15
90F:→ r1426000000: 謝謝gemini2010大大 05/13 11:15
91F:→ r1426000000: 我是已經輸入但,再跑一次還是沒顯示關閉 05/13 11:16
93F:→ qama: TransportBindName也要清空嗎? 還是新增SMB1就好了呢? 05/13 11:19
95F:→ JieshinRS: 要打上什麼 看不太懂QAQQQ 05/13 11:23
96F:推 Leaves1014: 兩件事是不同的吧 多做多一道安心 05/13 11:23
97F:推 Leaves1014: 名稱為 SMB1 類型為 REG_DWORD 值為 0 05/13 11:24
99F:推 Leaves1014: yap~ 05/13 11:26
100F:→ JieshinRS: 請問L大是這樣嗎……不好意思我是電腦白痴QAQQ 05/13 11:26
101F:→ JieshinRS: 謝謝L大! 05/13 11:26
102F:推 r1426000000: 但我這樣改完後重新開機依舊沒顯示有關閉欸 05/13 11:27
103F:推 Leaves1014: no thanks 我也是剛剛才學會的 XDa 05/13 11:28
104F:推 silentQoo: 請問電腦A(win7)中獎 電腦B(win10)遠端進入電腦A 電腦B 05/13 11:28
105F:→ silentQoo: 會有事嗎 05/13 11:28
106F:推 bloodruru: 推推 感謝各位大神!! 05/13 11:53
107F:推 stopbucks: XP 給推,這個服務我很多年前就關閉,度過危機 @_@ 05/13 12:01
108F:推 simpleclean: 請問是在LanmanServer下還是Parameters下? 05/13 12:32
109F:→ simpleclean: 因為文字和圖片說明 是在不同資料夾 05/13 12:33
110F:→ imasa: Parameters下 05/13 12:36
111F:推 ss910126: IMASA大請問我已經新增了,那個數值名稱要改嗎 05/13 12:49
112F:→ ss910126: 他現在叫做新數值#1 05/13 12:49
113F:→ saysayliam: 改成SMB1 05/13 12:58
114F:推 LT26i: 樓上 數直名稱要改成SMB1 05/13 12:58
115F:→ LT26i: 還有 為什麼用手機看imgur的圖都很模糊阿? 05/13 12:59
116F:推 ss910126: L大感謝你的解答 05/13 13:07
117F:推 NTbill: 感謝大大的用心~~ 05/13 13:25
118F:推 chi12345678: 已改QQ感謝 05/13 13:53
119F:推 AirPenguin: 請問更新過了還需要改嗎? 05/13 14:02
120F:推 happysunny: 電腦白痴請問關閉這個會影響到什麼功能呢 想知道自己 05/13 14:10
121F:→ happysunny: 平常會不會用到 謝謝 05/13 14:10
122F:推 auikolin: 我以為新增那個就直接按0,但名字改回smb1是不是還要在 05/13 15:25
123F:→ auikolin: 開一次電腦? 05/13 15:25
124F:推 tyccu: 請問這個檢測軟體可以用在win8上面嗎?? 謝謝 05/13 15:25
125F:推 gali: 謝謝imasa大大指導! 05/13 15:28
126F:推 opoplop: 找不到HKLM...原來是簡寫 05/13 15:32
127F:推 SamMark: xp只要這樣就沒事囉 05/13 15:53
128F:推 tinomax: 已關閉,謝大大指導 :) 05/13 15:58
129F:推 yl20649: 感謝幫助 05/13 16:04
130F:推 Ertkkpoo: 請問我打開命令提示字元,無法打c:/tool?? win8.1 05/13 16:04
131F:→ Adven: HKeyLocalMachine 05/13 17:04
132F:推 bluerain5406: 謝謝 推推 05/13 17:51
133F:噓 hhll5566: 紅明顯 smb1還是true的狀態(win8.1) 05/13 18:06
134F:→ hhll5566: 我想請問照您的指令下去做是不是沒有修改到任何設定呢 05/13 18:07
135F:→ hhll5566: 第一個指令輸入後也要跳出詢問的訊息 也是一樣直接enter 05/13 18:08
136F:→ hhll5566: 嗎?如果這樣是不是都沒修改到預設值嗎? 05/13 18:08
137F:→ hhll5566: 懇請賜教 05/13 18:09
138F:推 hhll5566: 沒事了所有是要以系統管理員身分執行? 05/13 18:12
139F:→ hhll5566: 如果是這樣那就ok了 感謝您的用心 05/13 18:13
140F:推 bojinlee: 感謝提供資訊 05/13 18:16
141F:推 jack42107: 升級Win10當然可以預防啊 因為關不掉更新 05/13 18:26
143F:推 a5413eric: 是還有可以加強的? 05/13 19:30
144F:→ imasa: 暫時補強了 只剩安裝更新 05/13 19:48
145F:推 a5413eric: 我是有安裝KB4019264更新了 05/13 20:00
146F:推 akay08: 推推 05/13 20:46
148F:→ shaume: 什麼問題嗎? 05/13 21:16
149F:→ imasa: 你這使用者可能沒有管理員權限 05/13 22:20
150F:推 shaume: 我之前有照版上文章設定兩個使用者,所以我是要切換到有管 05/13 22:24
151F:→ shaume: 理員權限的使用這再操作嗎? 05/13 22:24
152F:推 itoh: 感謝您提供XP關掉SMB1的方法 05/13 22:37
153F:推 berton928765: 推 05/13 23:52
154F:→ abxtpml56: 謝謝分享 一生平安 05/14 00:11
155F:推 ariston: 感謝英雄出手相助 05/14 01:18
156F:→ chrise: 抱歉電腦白癡 win7重新開機後要如何知道有沒有關閉smb1成 05/14 03:28
157F:→ chrise: 功 第2步驟是需要執行的嗎 05/14 03:28
158F:推 Looming: 感謝分享 好人有好報 05/14 09:00
159F:推 s1032kj: 感謝 05/14 11:03
160F:推 LTJKH: 感謝大大.... 已關閉 05/14 12:20
161F:推 light531: 推 05/14 20:01
162F:推 doyouself: 謝謝imasa大的分享 05/15 08:18
163F:推 deadlyearth: 推個 感謝i大 05/15 21:16
※ 編輯: imasa (114.42.160.182), 05/15/2017 22:59:54
164F:推 ShinPing21: 感謝 05/16 14:10