我整篇文章修饰整理了 这样阅读起来应该会比较舒服
后面有常见QA 应该可以解决一些版友的问题
===========================以下攻击相关资讯 可skip========================
本次攻击疑似是利用MS17-010漏洞攻击
该漏洞已经在3月更新 中毒的状况也与是否有安装3月安全性更新大致相符
因此盲狙推断是本漏洞造成问题
以下是本人小小整理的MS17-010漏洞资讯
攻击手法:攻击 Microsoft Windows SMB漏洞
漏洞编号:MS17-010(CVE-2017-0143~CVE-2017-0148)
漏洞造成的问题:可远端执行程式码
已改善:是(整合在微软2017/3月安全性整合更新 17/3/14发布)
受影响系统:
Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT,
Server 2008, 2008 R2, 2012, 2012 R2
已释出更新:
Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT,
Server 2008, 2008 R2, 2012, 2012 R2
注:蓝字代表该系统在5/13释出更新 其余都是3/14
关于MS17-010: https://goo.gl/Ivx5Xr
===========================以上攻击相关资讯 可skip=============================
请注意 以下内容中 Windows8 与 Windows8.1 是完全不同的 请不要混淆两者
请至控制台>Windows Update>检视更新纪录 查询自己电脑的更新纪录
作业系统 3月 4月 5月 5/13特别释出更新
Windows XP KB4012598
Windows Vista KB4012598
Windows 7 KB4012215 KB4015549 KB4019264
Windows 8 KB4012598
Windows 8.1 KB4012216 KB4015550 KB4019215
已安装上述任一更新(新的更新会包含之前月份的 所以有其中一个安装成功即可)
代表应可防范此次攻击
控制台>Windows Update>检视更新纪录 可查询电脑是否有安装成功
若尚未安装 请先断网并按照下面方式进行更新修补
每一个动作都是必要的 请按照顺序做
●Windows 10
除非您手动关闭更新 否则一般来说都是更新完成的 若不放心可直接更新到1703
●非Windows 10 系统
===Step 1.关闭 SMB 1.0/CIFS 档案共用支援
此步骤为必要 若不做可能会在更新尚未完成时受到攻击
若您现在暂时无法更新系统 此方法可以暂时防止此次病毒
●Windows XP
关闭网络上的芳邻(请更新完之后再打开)
●方法一:适用Windows Vista,7,8,8.1
内容方式摘录自imasa大大的文章
若有关闭SMB的相关问题请到那篇回复
1.按 Windows键+R
2.输入regedit之后按Enter
3.找到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
如图http://imgur.com/4NvwlRZ.png
4.新增DWORD key SMB1,值设定为0
在空白处按右键>新增>DWORD(32位元)值 名称键入SMB1 不管你是x86还是x64都是
http://imgur.com/y5z0Upk.png
之后在新增的项目中按右键 修改
http://imgur.com/jDXmhQn.png
修改资料为0
http://imgur.com/zbUqfVc.png
修改完成后请重新开机
●方法二:适用Windows 8.1
1.开启控制台>程式集>开启或关闭Windows功能
2.把SMB 1.0/CIFS 档案共用支援勾勾取消掉
3.重新开机
===Step 2.更新Windows
注:x86=32位元 x64=64位元 在微软官方通常x64会特别注明64位元 x86不会特别写32位元
2-A.可利用系统内建之Windows Update程式更新
2-B.可利用下载的更新套件更新
这是官方的Windows更新载点
http://www.catalog.update.microsoft.com/
之后键入您需要的套件号码即可搜寻到档案
另外由于使用人数众多(全球都在更新) 所以网站可能会出现异常或下载缓慢
以下是Win7与Win8.1的分流载点
Windows 7 KB4012215 Windows 8.1 KB4012216
GD1:https://goo.gl/q6f1Tu GD1:https://goo.gl/tbvuWI
GD2:https://goo.gl/eM58dG GD2:https://goo.gl/nZSJ92
GD3:https://goo.gl/FcrqR5 GD3:https://goo.gl/oC3mvR
MG :https://goo.gl/t199Mc
※以上分流来源:Facebook社团 “电脑DIY 组装 - 维修.疑难杂症 讨论区”
https://goo.gl/0O57il
●Windows XP 及 Windows 8
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
进入上述网址后 选择您的作业系统即可
Windows SP3 x86个人分流
GD: https://goo.gl/dWc23K
本人(paul40807)亲传证明 http://imgur.com/GzZfJxM.png
Windows 8的原档我抢不到 无法制作分流 先跟各位说声不好意思
===Step 3.检查病毒是否已经入侵潜伏或加密中
请直接参考下列内文操作
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
(未中毒)
Step 4A.再度开启SMB/XP:网络上的芳邻(可不做)
若会使用到此功能 可再开启
若不会 也不需要开启
根据经验 一般使用者是用不到的
最后
恭喜您未中奖 请继续保持良好的更新及使用习惯 避免受到其他新勒索软件的威胁
若您是Windows XP,Vista或Windows 8使用者
真心的建议您更新至Windows 10或其他尚未停止更新的作业系统
Windows 8 的序号可直接使用在Windows 10 1607以后的版本
建议各位版友趁此次机会更新
(已中毒)
Step 4B.后续处理
请立刻关机 拔除资料碟 开安全模式并清除病毒
清除病毒之后建议安装&更新到最新Avast等可设定开机扫描的防毒软件 再接回资料碟
并且设定开机扫描 然后立刻重新开机让防毒软件检查是否有残存病毒在资料碟中
若检查一切OK 请立刻重灌系统(或升级到Windows10)
Avast开机扫描图 http://imgur.com/qJxjs2R.jpg
祝福大家珍贵的资料都能够守护好
常见Q&A
Q1:我是Win7/8/8.1使用者 现在想要更新Win10 还来的及吗
A:可以 您只需要去有点软官方下载工具 就可以直接使用Win7/8/8.1的序号安装Windows10
官方载点:https://www.microsoft.com/zh-tw/software-download/windows10
Q2:我是Windows 10 1507,1511,1607的使用者 有需要升级到1703吗
A:不用因为这次的事件抢著升级1703 因为没差 1607 1511 1507都已经在3/14收到更新了
如果没有从regedit关闭Update Server的话 理论上都已经被爱的更新了
当然 1703 一开始就已经修复这个漏洞 有强迫症的话可能觉得比较安全
Q3:更新一直失败怎么办
A:重新开机再安装可以试试看 若不能解决请爬文
Q4:我安装自行去官方下载或是您提供的安装包 出现“更新不适用”
A:有两种可能 第一种是系统太旧 Windows太旧导致无法安装
另外一种是 你已经安装更(ㄍㄥˋ)新的更新套件 也可能会出现更新不适用的提示
※ 引述《leon19790602 (())》之铭言:
: 来源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大规模攻击未更新的漏洞系统
: 不到2小时的时间中已经造成重大灾情,第一波主要的攻击目标为:
: Taiwan
: Russia
: Turkey
: Kazakhstan
: Indonesia
: Vietnam
: Japan
: Spain
: Germany
: Ukraine
: Philippines
: 等国家
: 目前影响最严重的国家台湾排名第二