我整篇文章修飾整理了 這樣閱讀起來應該會比較舒服
後面有常見QA 應該可以解決一些版友的問題
===========================以下攻擊相關資訊 可skip========================
本次攻擊疑似是利用MS17-010漏洞攻擊
該漏洞已經在3月更新 中毒的狀況也與是否有安裝3月安全性更新大致相符
因此盲狙推斷是本漏洞造成問題
以下是本人小小整理的MS17-010漏洞資訊
攻擊手法:攻擊 Microsoft Windows SMB漏洞
漏洞編號:MS17-010(CVE-2017-0143~CVE-2017-0148)
漏洞造成的問題:可遠端執行程式碼
已改善:是(整合在微軟2017/3月安全性整合更新 17/3/14發佈)
受影響系統:
Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT,
Server 2008, 2008 R2, 2012, 2012 R2
已釋出更新:
Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT,
Server 2008, 2008 R2, 2012, 2012 R2
註:藍字代表該系統在5/13釋出更新 其餘都是3/14
關於MS17-010: https://goo.gl/Ivx5Xr
===========================以上攻擊相關資訊 可skip=============================
請注意 以下內容中 Windows8 與 Windows8.1 是完全不同的 請不要混淆兩者
請至控制台>Windows Update>檢視更新紀錄 查詢自己電腦的更新紀錄
作業系統 3月 4月 5月 5/13特別釋出更新
Windows XP KB4012598
Windows Vista KB4012598
Windows 7 KB4012215 KB4015549 KB4019264
Windows 8 KB4012598
Windows 8.1 KB4012216 KB4015550 KB4019215
已安裝上述任一更新(新的更新會包含之前月份的 所以有其中一個安裝成功即可)
代表應可防範此次攻擊
控制台>Windows Update>檢視更新紀錄 可查詢電腦是否有安裝成功
若尚未安裝 請先斷網並按照下面方式進行更新修補
每一個動作都是必要的 請按照順序做
●Windows 10
除非您手動關閉更新 否則一般來說都是更新完成的 若不放心可直接更新到1703
●非Windows 10 系統
===Step 1.關閉 SMB 1.0/CIFS 檔案共用支援
此步驟為必要 若不做可能會在更新尚未完成時受到攻擊
若您現在暫時無法更新系統 此方法可以暫時防止此次病毒
●Windows XP
關閉網路上的芳鄰(請更新完之後再打開)
●方法一:適用Windows Vista,7,8,8.1
內容方式摘錄自imasa大大的文章
若有關閉SMB的相關問題請到那篇回覆
1.按 Windows鍵+R
2.輸入regedit之後按Enter
3.找到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
如圖http://imgur.com/4NvwlRZ.png
4.新增DWORD key SMB1,值設定為0
在空白處按右鍵>新增>DWORD(32位元)值 名稱鍵入SMB1 不管你是x86還是x64都是
http://imgur.com/y5z0Upk.png
之後在新增的項目中按右鍵 修改
http://imgur.com/jDXmhQn.png
修改資料為0
http://imgur.com/zbUqfVc.png
修改完成後請重新開機
●方法二:適用Windows 8.1
1.開啟控制台>程式集>開啟或關閉Windows功能
2.把SMB 1.0/CIFS 檔案共用支援勾勾取消掉
3.重新開機
===Step 2.更新Windows
註:x86=32位元 x64=64位元 在微軟官方通常x64會特別註明64位元 x86不會特別寫32位元
2-A.可利用系統內建之Windows Update程式更新
2-B.可利用下載的更新套件更新
這是官方的Windows更新載點
http://www.catalog.update.microsoft.com/
之後鍵入您需要的套件號碼即可搜尋到檔案
另外由於使用人數眾多(全球都在更新) 所以網站可能會出現異常或下載緩慢
以下是Win7與Win8.1的分流載點
Windows 7 KB4012215 Windows 8.1 KB4012216
GD1:https://goo.gl/q6f1Tu GD1:https://goo.gl/tbvuWI
GD2:https://goo.gl/eM58dG GD2:https://goo.gl/nZSJ92
GD3:https://goo.gl/FcrqR5 GD3:https://goo.gl/oC3mvR
MG :https://goo.gl/t199Mc
※以上分流來源:Facebook社團 「電腦DIY 組裝 - 維修.疑難雜症 討論區」
https://goo.gl/0O57il
●Windows XP 及 Windows 8
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
進入上述網址後 選擇您的作業系統即可
Windows SP3 x86個人分流
GD: https://goo.gl/dWc23K
本人(paul40807)親傳證明 http://imgur.com/GzZfJxM.png
Windows 8的原檔我搶不到 無法製作分流 先跟各位說聲不好意思
===Step 3.檢查病毒是否已經入侵潛伏或加密中
請直接參考下列內文操作
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
(未中毒)
Step 4A.再度開啟SMB/XP:網路上的芳鄰(可不做)
若會使用到此功能 可再開啟
若不會 也不需要開啟
根據經驗 一般使用者是用不到的
最後
恭喜您未中獎 請繼續保持良好的更新及使用習慣 避免受到其他新勒索軟體的威脅
若您是Windows XP,Vista或Windows 8使用者
真心的建議您更新至Windows 10或其他尚未停止更新的作業系統
Windows 8 的序號可直接使用在Windows 10 1607以後的版本
建議各位版友趁此次機會更新
(已中毒)
Step 4B.後續處理
請立刻關機 拔除資料碟 開安全模式並清除病毒
清除病毒之後建議安裝&更新到最新Avast等可設定開機掃描的防毒軟體 再接回資料碟
並且設定開機掃描 然後立刻重新開機讓防毒軟體檢查是否有殘存病毒在資料碟中
若檢查一切OK 請立刻重灌系統(或升級到Windows10)
Avast開機掃描圖 http://imgur.com/qJxjs2R.jpg
祝福大家珍貴的資料都能夠守護好
常見Q&A
Q1:我是Win7/8/8.1使用者 現在想要更新Win10 還來的及嗎
A:可以 您只需要去有點軟官方下載工具 就可以直接使用Win7/8/8.1的序號安裝Windows10
官方載點:https://www.microsoft.com/zh-tw/software-download/windows10
Q2:我是Windows 10 1507,1511,1607的使用者 有需要升級到1703嗎
A:不用因為這次的事件搶著升級1703 因為沒差 1607 1511 1507都已經在3/14收到更新了
如果沒有從regedit關閉Update Server的話 理論上都已經被愛的更新了
當然 1703 一開始就已經修復這個漏洞 有強迫症的話可能覺得比較安全
Q3:更新一直失敗怎麼辦
A:重新開機再安裝可以試試看 若不能解決請爬文
Q4:我安裝自行去官方下載或是您提供的安裝包 出現「更新不適用」
A:有兩種可能 第一種是系統太舊 Windows太舊導致無法安裝
另外一種是 你已經安裝更(ㄍㄥˋ)新的更新套件 也可能會出現更新不適用的提示
※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
: Russia
: Turkey
: Kazakhstan
: Indonesia
: Vietnam
: Japan
: Spain
: Germany
: Ukraine
: Philippines
: 等國家
: 目前影響最嚴重的國家台灣排名第二