1. PTT
  2. AntiVirus

Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

作者: imasa (便當俠)   2017-05-13 04:32:22
※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
注意:此方法只能預防不能治療
如果你的檔案已經開始被加密那就不用繼續看下去了
WanaCrypt0r 2.0據說是根據微軟前陣子被揭發的MS17-010漏洞製作Exploit來加以攻擊的
所以理論上我們可以手動把會引起該漏洞的SMBv1服務關閉來讓他攻擊失敗
Windows 7/2008:
1.執行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值為0
以下是新增動作示意圖
http://imgur.com/hOk0bkH
2. 重新開機
設定registry之前:
EternalBlue可攻擊成功
http://imgur.com/RIF7cXJ
設定registry之後:
EternalBlue攻擊失敗
http://imgur.com/izhUCbo
Windows 8以上:
1. 打開 command提示視窗、執行powershell
2. 執行 set-ExecutionPolicy Unrestricted
3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出現問你要不要修改SMB Server Configuration的確認提示、選 Y (預設值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 來檢查是否設定成功
6. 重新開機
如果看不太懂上面的描述
可以參考下面的圖來輸入上面的指令
http://imgur.com/x4HoZrQ
Windows XP:
請關閉網路連線內容的 File and Printer Sharing for Microsoft Networks
1. 開始 -> 設定 -> 控制台 -> 網路連線
2. 選擇你的對外連線(例如區域連線這種名字)、按右鍵選內容
3. 把 File and Printer Sharing for Microsoft Networks 旁邊的勾勾取消
4. 重新開機 (似乎沒必要、但保險起見還是重開吧)
關閉前:
http://imgur.com/YD6J8eq
關閉後:
http://imgur.com/5f85YBY
如果這服務你非用不可的話、那建議你還是換系統吧.....
不過還是奉勸大家
能安裝更新還是請盡快安裝
這只是救急法
而且只能阻擋利用此漏洞的病毒和Ransomeware
一但有變種出現你可能照樣會中招
另外關於EternalBlue的攻擊方式
可以參見我寫的簡單分析文章
有興趣的人可以看看
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
在此就先不浪費篇幅在這post了
作者: bignose0623 (Tim)   2017-05-13 04:41:00
不好意思,請問一下那直接升級win10就能預防嗎? 小弟win7 都有自動更新,目前應該沒事...
作者: imasa (便當俠)   2017-05-13 04:41:00
Win10目前不會被攻擊
作者: bajiqa (多爾)   2017-05-13 04:42:00
這部是更新到10就沒事,這次是利用漏洞造成的,而且很多人不更新系統,平常又不備份,或者也不開防護,才會造成問題
作者: dustin79427 (我不是故意的)   2017-05-13 04:43:00
不好意思問一下 1月多更新 現在有必要補更新嗎 上次更新電腦好像死機
作者: imasa (便當俠)   2017-05-13 04:45:00
我這篇寫的是不補更新的方法、要補更新的人請參考前文
作者: bajiqa (多爾)   2017-05-13 04:47:00
3月才把洞補起來,而你只更新到1月,你覺得危不危險
作者: dustin79427 (我不是故意的)   2017-05-13 04:47:00
好的
作者: bignose0623 (Tim)   2017-05-13 04:47:00
所以說還是要先備份啊,感謝各位先進
作者: bajiqa (多爾)   2017-05-13 04:47:00
機器會當你要先確認是什麼原因造成,而不是怕當機就不更新
作者: gowaa (囧mmmmmmmmmmmz)   2017-05-13 04:48:00
總是要更新重要問題吧 雖然我也有更新到 還是怕怕的0rz
作者: hpo14 (hpo14)   2017-05-13 05:06:00
作者: willy5566 (5566)   2017-05-13 05:11:00
大大 請問win8是SMB1 false ,SMB2 true嗎?^改完後
作者: imasa (便當俠)   2017-05-13 05:13:00
yes
作者: willy5566 (5566)   2017-05-13 05:19:00
大大再請問一下 更新了之後 要再回來開啟SMB1嗎?
作者: imasa (便當俠)   2017-05-13 05:26:00
不用改了,微軟早在去年就建議關閉了,除非你真的有需要
作者: bignose0623 (Tim)   2017-05-13 05:28:00
想請問如何知道電腦有無中獎?在檔案尚未察覺被加密前,感謝
作者: johnny3 (キラ☆)   2017-05-13 05:39:00
MS:你們再罵win10強制自動更新嘛
作者: sam613 (Hikaru)   2017-05-13 06:08:00
其實,如果沒有要開分享什麼的,可以直接關server service
作者: luuuking (魯王)   2017-05-13 06:28:00
感謝原po的用心整理
作者: akay08 (Ara_K)   2017-05-13 06:42:00
推推
作者: koala7124 (koala)   2017-05-13 07:17:00
五月以前我也是停用更新 之前一更新就停在搜尋更新階段 然後cpu飆高 五月初心血來潮點了手動更新 又通通正常了 怪乎 真是好險
作者: F16V (Manners maketh man.)   2017-05-13 07:37:00
出現拒絕存取登錄機碼該?
作者: kohinata (坂東隱世武者)   2017-05-13 07:59:00
請問機碼設定完後 該從哪邊確認我有確實關閉SMB1 (win7)我用netstat 還是有445 不過是0.0.0.0 listening
作者: imasa (便當俠)   2017-05-13 08:03:00
可以參考我另一篇文章 執行偵測程式來確定是否有關閉SMBv1
作者: zsp8084 (UNSSS)   2017-05-13 08:09:00
感謝
作者: dave9898 (黛芙走吧)   2017-05-13 08:16:00
拒絕存取的是不是沒用系統管理員身分執行
作者: sam613 (Hikaru)   2017-05-13 08:18:00
lol...用管理員也是寫拒絕存取
作者: rbdgemzo (Mark)   2017-05-13 08:20:00
感謝推
作者: F16V (Manners maketh man.)   2017-05-13 08:21:00
管理員一樣
作者: hc1118 (人˙非)   2017-05-13 08:21:00
想問vista要怎麼關smb1??
作者: rbdgemzo (Mark)   2017-05-13 08:23:00
沒推到 補脫
作者: pokerfaceid (撲克臉)   2017-05-13 08:26:00
推 注意打進去的空格位置要跟原po的完全一樣
作者: ross800127 (ROSS-MAX)   2017-05-13 08:45:00
都沒人在看置底的防毒觀念嗎?
作者: ashes0305 (嘎咕)   2017-05-13 08:54:00
啊...我不小心用到編輯到size/small/medium/large的二進位值 要怎麼辦QQ
作者: imasa (便當俠)   2017-05-13 08:55:00
樓上,刪除重加就好了
作者: ashes0305 (嘎咕)   2017-05-13 08:57:00
樓上 請問我需要輸入什麼QQ還是重開機就好
作者: imasa (便當俠)   2017-05-13 09:05:00
樓上 我不知道你改了什麼...參考我文章裡的圖吧
作者: grant4343 (岩木之子)   2017-05-13 09:10:00
新增dword要怎麼弄...有點不太清楚弄出來的東西要長什麼樣子
作者: ashes0305 (嘎咕)   2017-05-13 09:10:00
呃呃呃就我現在數值資料是 0000 00 00 00 00想請問他的預設值應該是什麼這樣
作者: grant4343 (岩木之子)   2017-05-13 09:18:00
阿 看到怎麼弄了 謝謝樓主
作者: fongsi (fongsi)   2017-05-13 09:20:00
http://i.imgur.com/1cnEJzv.jpg不好意思,我的電腦沒有HKLM開頭的耶...
作者: imasa (便當俠)   2017-05-13 09:21:00
HKLM是HKEY_LOCAL_MACHINE的縮寫Vista跟Win7應該是一樣的方法,但我無法驗證
作者: fongsi (fongsi)   2017-05-13 09:27:00
謝謝樓樓上,找到了
作者: CaymanS (No Mercy)   2017-05-13 09:30:00
我是Win7,改完之後Google Drive就死掉了
作者: eggguy (eggguy)   2017-05-13 09:35:00
請問win7新增有分32位元跟64位元要選哪一種呢
作者: chinhan1216 (下巴翰)   2017-05-13 09:38:00
一個是DWORD 一個是QWORD
作者: eggguy (eggguy)   2017-05-13 09:40:00
哦哦 感謝樓上 我看出來了
作者: alex90236 (洋蔥)   2017-05-13 09:41:00
請問其值設0 底值是採用預設16進位的嗎?
作者: fongsi (fongsi)   2017-05-13 09:48:00
我win7 已成功! 另外改完googledrive 沒死掉
作者: LT26i (圖書館)   2017-05-13 09:52:00
我現在還不敢開機 因為一開機就會直連WiFi ……
作者: brovet (阿搭 原來我有小天使...)   2017-05-13 09:57:00
回alex 對 重開機記得去下載大大給的測試檔
作者: alex90236 (洋蔥)   2017-05-13 09:59:00
OK謝謝樓上提醒!!剛剛是安裝前去裝您說的檢測檔 您說的是下面那篇的對吧
作者: hc1118 (人˙非)   2017-05-13 10:04:00
Vista按照Win7方法關Smb1 成功 謝謝
作者: Tiesna0730 (蛋營養青菜)   2017-05-13 10:18:00
推,謝謝樓主
作者: hn9480412 (ilinker)   2017-05-13 10:25:00
照微軟的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才對
作者: just5566 (就是56)   2017-05-13 10:25:00
按照大大的方法修改、測試檔顯示成功!感謝大大!Y
作者: JiRui (GaRy)   2017-05-13 10:25:00
執行powershell要記得用系統管理員身份執行win8以上按win鍵,輸入powershell,滑鼠右鍵選以系統管理員身份執行
作者: OAO5566 (OAO)   2017-05-13 10:30:00
win7 64位元就選QWORD?
作者: paul40807 (ㄏㄏ弟)   2017-05-13 10:30:00
不 一樣選DWORD
作者: imasa (便當俠)   2017-05-13 10:35:00
因為很多人問registry怎麼加,新增了示意圖
作者: playerkilled (揪團看電影)   2017-05-13 10:38:00
感謝I大,推
作者: OAO5566 (OAO)   2017-05-13 10:39:00
感謝原po,偵測檔顯示SMB1已關
作者: kentket (魚~!)   2017-05-13 10:39:00
請問大大 偵測城市說關閉SMB1就可以安心了嗎好像推錯篇 囧
作者: arco   2017-05-13 10:49:00
感謝I大 更新太久了先關掉SMB1再來更新比較安心一點了orz
作者: r1426000000 (Di)   2017-05-13 10:54:00
其值為0要怎麼打
作者: gemini2010 (gemini)   2017-05-13 10:58:00
樓上,新增完後右鍵就可以改了
作者: cospergod (cospergod)   2017-05-13 11:05:00
感謝您的整理
作者: AAIOU (...)   2017-05-13 11:07:00
感謝您的分享,可惜昨晚已中獎,快來分享給朋友們,謝謝
作者: newage5566 (56新世紀)   2017-05-13 11:10:00
大大是在Parameters下還是LanmanServer新增呢圖不一樣
作者: n1m5w8tsarp (布丁棉花糖)   2017-05-13 11:11:00
推,感謝整理,已關閉SMB1
作者: r1426000000 (Di)   2017-05-13 11:15:00
好的,所以電腦是64位元一樣新增32位元的就可以嗎?謝謝gemini2010大大我是已經輸入但,再跑一次還是沒顯示關閉
作者: qama (G.M.T.)   2017-05-13 11:19:00
請問關閉port445 https://goo.gl/JLylLxTransportBindName也要清空嗎? 還是新增SMB1就好了呢?
作者: JieshinRS (油水夫夫住我家樓上)   2017-05-13 11:23:00
http://i.imgur.com/tDk2ipa.jpg要打上什麼 看不太懂QAQQQ
作者: Leaves1014 (ㄜㄜ)   2017-05-13 11:23:00
兩件事是不同的吧 多做多一道安心名稱為 SMB1 類型為 REG_DWORD 值為 0
作者: JieshinRS (油水夫夫住我家樓上)   2017-05-13 11:25:00
http://i.imgur.com/lb4YIbX.jpg
作者: Leaves1014 (ㄜㄜ)   2017-05-13 11:26:00
yap~
作者: JieshinRS (油水夫夫住我家樓上)   2017-05-13 11:26:00
請問L大是這樣嗎……不好意思我是電腦白痴QAQQ謝謝L大!
作者: r1426000000 (Di)   2017-05-13 11:27:00
但我這樣改完後重新開機依舊沒顯示有關閉欸
作者: Leaves1014 (ㄜㄜ)   2017-05-13 11:28:00
no thanks 我也是剛剛才學會的 XDa
作者: silentQoo (阿勃勒)   2017-05-13 11:28:00
請問電腦A(win7)中獎 電腦B(win10)遠端進入電腦A 電腦B會有事嗎
作者: bloodruru (心在哪 答案就在哪)   2017-05-13 11:53:00
推推 感謝各位大神!!
作者: stopbucks (stopbucks)   2017-05-13 12:01:00
XP 給推,這個服務我很多年前就關閉,度過危機 @_@
作者: simpleclean (million )   2017-05-13 12:32:00
請問是在LanmanServer下還是Parameters下?因為文字和圖片說明 是在不同資料夾
作者: imasa (便當俠)   2017-05-13 12:36:00
Parameters下
作者: ss910126 (LEE)   2017-05-13 12:49:00
IMASA大請問我已經新增了,那個數值名稱要改嗎他現在叫做新數值#1
作者: saysayliam (肉鬆稀飯)   2017-05-13 12:58:00
改成SMB1
作者: LT26i (圖書館)   2017-05-13 12:58:00
樓上 數直名稱要改成SMB1還有 為什麼用手機看imgur的圖都很模糊阿?
作者: ss910126 (LEE)   2017-05-13 13:07:00
L大感謝你的解答
作者: NTbill   2017-05-13 13:25:00
感謝大大的用心~~
作者: chi12345678 (to Terabithia)   2017-05-13 13:53:00
已改QQ感謝
作者: AirPenguin (...)   2017-05-13 14:02:00
請問更新過了還需要改嗎?
作者: happysunny   2017-05-13 14:10:00
電腦白痴請問關閉這個會影響到什麼功能呢 想知道自己平常會不會用到 謝謝
作者: auikolin (金剛我老婆)   2017-05-13 15:25:00
我以為新增那個就直接按0,但名字改回smb1是不是還要在開一次電腦?
作者: tyccu (mccmm)   2017-05-13 15:25:00
請問這個檢測軟體可以用在win8上面嗎?? 謝謝
作者: gali (紅與藍)   2017-05-13 15:28:00
謝謝imasa大大指導!
作者: opoplop (Q)   2017-05-13 15:32:00
找不到HKLM...原來是簡寫
作者: SamMark (里維士官長)   2017-05-13 15:53:00
xp只要這樣就沒事囉
作者: tinomax (2016巨人輸了 Q Q)   2017-05-13 15:58:00
已關閉,謝大大指導 :)
作者: yl20649 (很受傷)   2017-05-13 16:04:00
感謝幫助
作者: Ertkkpoo (Good)   2017-05-13 16:04:00
請問我打開命令提示字元,無法打c:/tool?? win8.1
作者: Adven (電風扇)   2017-05-13 17:04:00
HKeyLocalMachine
作者: bluerain5406 (Xman)   2017-05-13 17:51:00
謝謝 推推
作者: hhll5566 (忽溜56)   2017-05-13 18:06:00
紅明顯 smb1還是true的狀態(win8.1)我想請問照您的指令下去做是不是沒有修改到任何設定呢第一個指令輸入後也要跳出詢問的訊息 也是一樣直接enter嗎?如果這樣是不是都沒修改到預設值嗎?懇請賜教沒事了所有是要以系統管理員身分執行?如果是這樣那就ok了 感謝您的用心
作者: bojinlee (趴帶..)   2017-05-13 18:16:00
感謝提供資訊
作者: jack42107 (小克)   2017-05-13 18:26:00
升級Win10當然可以預防啊 因為關不掉更新
作者: a5413eric (a5413eric)   2017-05-13 19:30:00
http://i.imgur.com/YJzvJbH.jpg 想問這樣安全了嗎 還是還有可以加強的?
作者: imasa (便當俠)   2017-05-13 19:48:00
暫時補強了 只剩安裝更新
作者: a5413eric (a5413eric)   2017-05-13 20:00:00
我是有安裝KB4019264更新了
作者: akay08 (Ara_K)   2017-05-13 20:46:00
推推
作者: shaume (可惡)   2017-05-13 21:16:00
http://imgur.com/1xReWce 要關掉SMB卻出現這個訊息,是有什麼問題嗎?
作者: imasa (便當俠)   2017-05-13 22:20:00
你這使用者可能沒有管理員權限
作者: shaume (可惡)   2017-05-13 22:24:00
我之前有照版上文章設定兩個使用者,所以我是要切換到有管理員權限的使用這再操作嗎?
作者: itoh (itohmakoto)   2017-05-13 22:37:00
感謝您提供XP關掉SMB1的方法
作者: berton928765 (berton)   2017-05-13 23:52:00
作者: abxtpml56 (旅程,沒有目的地)   2017-05-14 00:11:00
謝謝分享 一生平安
作者: ariston   2017-05-14 01:18:00
感謝英雄出手相助
作者: chrise (Deer)   2017-05-14 03:28:00
抱歉電腦白癡 win7重新開機後要如何知道有沒有關閉smb1成功 第2步驟是需要執行的嗎
作者: Looming (time to change)   2017-05-14 09:00:00
感謝分享 好人有好報
作者: s1032kj (無聊)   2017-05-14 11:03:00
感謝
作者: LTJKH (LTJKH)   2017-05-14 12:20:00
感謝大大.... 已關閉
作者: sa12e3   2017-05-14 19:47:00
https://www.youtube.com/watch?v=uVLDIynuaL4
作者: light531 ((‧(工)‧)/ )   2017-05-14 20:01:00
繼續閱讀
[求救] Chrome自動跳視窗pomeloyouRe: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統st09094238[合購] 卡巴斯基全方位五台兩年jessica805Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統abadjoke[問題] 更新後重開還有機會被勒索嗎x526542012Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統qxxrbull[請益] 大約2個月都沒有開機的win7 會不會中毒?x8031452Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統fo40225[求救] 中勒索病毒後 若重灌被加密的檔案能留嗎?dany419owRe: [情報] WanaCrypt0r 2.0 大規...(內文已大修過)paul40807

Links booklink

Contact Us: admin [ a t ] ucptt.com