Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统 imasa PTT批踢踢实业坊

Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统

楼主: imasa (便当侠) 2017-05-13 04:32:22

※ 引述《leon19790602 (())》之铭言：
: 来源：https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大规模攻击未更新的漏洞系统
: 不到2小时的时间中已经造成重大灾情，第一波主要的攻击目标为：
: Taiwan
注意：此方法只能预防不能治疗
如果你的档案已经开始被加密那就不用继续看下去了
WanaCrypt0r 2.0据说是根据微软前阵子被揭发的MS17-010漏洞制作Exploit来加以攻击的
所以理论上我们可以手动把会引起该漏洞的SMBv1服务关闭来让他攻击失败
Windows 7/2008：
1.执行regedit，到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值为0
以下是新增动作示意图
http://imgur.com/hOk0bkH
2. 重新开机
设定registry之前：
EternalBlue可攻击成功
http://imgur.com/RIF7cXJ
设定registry之后：
EternalBlue攻击失败
http://imgur.com/izhUCbo
Windows 8以上：
1. 打开 command提示视窗、执行powershell
2. 执行 set-ExecutionPolicy Unrestricted
3. 执行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出现问你要不要修改SMB Server Configuration的确认提示、选 Y (默认值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 来检查是否设定成功
6. 重新开机
如果看不太懂上面的描述
可以参考下面的图来输入上面的指令
http://imgur.com/x4HoZrQ
Windows XP：
请关闭网络连线内容的 File and Printer Sharing for Microsoft Networks
1. 开始 -> 设定 -> 控制台 -> 网络连线
2. 选择你的对外连线(例如区域连线这种名字)、按右键选内容
3. 把 File and Printer Sharing for Microsoft Networks 旁边的勾勾取消
4. 重新开机 (似乎没必要、但保险起见还是重开吧)
关闭前：
http://imgur.com/YD6J8eq
关闭后：
http://imgur.com/5f85YBY
如果这服务你非用不可的话、那建议你还是换系统吧.....
不过还是奉劝大家
能安装更新还是请尽快安装
这只是救急法
而且只能阻挡利用此漏洞的病毒和Ransomeware
一但有变种出现你可能照样会中招
另外关于EternalBlue的攻击方式
可以参见我写的简单分析文章
有兴趣的人可以看看
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
在此就先不浪费篇幅在这post了

作者: bignose0623 (Tim) 2017-05-13 04:41:00

不好意思，请问一下那直接升级win10就能预防吗？小弟win7 都有自动更新，目前应该没事...

楼主: imasa (便当侠) 2017-05-13 04:41:00

Win10目前不会被攻击

作者: bajiqa (多尔) 2017-05-13 04:42:00

这部是更新到10就没事，这次是利用漏洞造成的，而且很多人不更新系统，平常又不备份，或者也不开防护，才会造成问题

作者: dustin79427 (我不是故意的) 2017-05-13 04:43:00

不好意思问一下 1月多更新现在有必要补更新吗上次更新电脑好像死机

楼主: imasa (便当侠) 2017-05-13 04:45:00

我这篇写的是不补更新的方法、要补更新的人请参考前文

作者: bajiqa (多尔) 2017-05-13 04:47:00

3月才把洞补起来，而你只更新到1月，你觉得危不危险

作者: dustin79427 (我不是故意的) 2017-05-13 04:47:00

好的

作者: bignose0623 (Tim) 2017-05-13 04:47:00

所以说还是要先备份啊，感谢各位先进

作者: bajiqa (多尔) 2017-05-13 04:47:00

机器会当你要先确认是什么原因造成，而不是怕当机就不更新

作者: gowaa (囧mmmmmmmmmmmz) 2017-05-13 04:48:00

总是要更新重要问题吧虽然我也有更新到还是怕怕的0rz

作者: hpo14 (hpo14) 2017-05-13 05:06:00

推

作者: willy5566 (5566) 2017-05-13 05:11:00

大大请问win8是SMB1 false ,SMB2 true吗？^改完后

楼主: imasa (便当侠) 2017-05-13 05:13:00

yes

作者: willy5566 (5566) 2017-05-13 05:19:00

大大再请问一下更新了之后要再回来开启SMB1吗？

楼主: imasa (便当侠) 2017-05-13 05:26:00

不用改了，微软早在去年就建议关闭了，除非你真的有需要

作者: bignose0623 (Tim) 2017-05-13 05:28:00

想请问如何知道电脑有无中奖？在档案尚未察觉被加密前，感谢

作者: johnny3 (キラ☆) 2017-05-13 05:39:00

MS:你们再骂win10强制自动更新嘛

作者: sam613 (Hikaru) 2017-05-13 06:08:00

其实,如果没有要开分享什么的,可以直接关server service

作者: luuuking (鲁王) 2017-05-13 06:28:00

感谢原po的用心整理

作者: akay08 (Ara_K) 2017-05-13 06:42:00

推推

作者: koala7124 (koala) 2017-05-13 07:17:00

五月以前我也是停用更新之前一更新就停在搜寻更新阶段然后cpu飙高五月初心血来潮点了手动更新又通通正常了怪乎真是好险

作者: F16V (Manners maketh man.) 2017-05-13 07:37:00

出现拒绝存取登录机码该?

作者: kohinata (坂东隐世武者) 2017-05-13 07:59:00

请问机码设定完后该从哪边确认我有确实关闭SMB1 (win7)我用netstat 还是有445 不过是0.0.0.0 listening

楼主: imasa (便当侠) 2017-05-13 08:03:00

可以参考我另一篇文章执行侦测程式来确定是否有关闭SMBv1

作者: zsp8084 (UNSSS) 2017-05-13 08:09:00

感谢

作者: dave9898 (é»›èŠ™èµ°å§) 2017-05-13 08:16:00

拒绝存取的是不是没用系统管理员身分执行

作者: sam613 (Hikaru) 2017-05-13 08:18:00

lol...用管理员也是写拒绝存取

作者: rbdgemzo (Mark) 2017-05-13 08:20:00

感谢推

作者: F16V (Manners maketh man.) 2017-05-13 08:21:00

管理员一样

作者: hc1118 (人˙非) 2017-05-13 08:21:00

想问vista要怎么关smb1??

作者: rbdgemzo (Mark) 2017-05-13 08:23:00

没推到补脱

作者: pokerfaceid (扑克脸) 2017-05-13 08:26:00

推注意打进去的空格位置要跟原po的完全一样

作者: ross800127 (ROSS-MAX) 2017-05-13 08:45:00

都没人在看置底的防毒观念吗?

作者: ashes0305 (嘎咕) 2017-05-13 08:54:00

啊...我不小心用到编辑到size/small/medium/large的二进制值要怎么办QQ

楼主: imasa (便当侠) 2017-05-13 08:55:00

楼上，删除重加就好了

作者: ashes0305 (嘎咕) 2017-05-13 08:57:00

楼上请问我需要输入什么QQ还是重开机就好

楼主: imasa (便当侠) 2017-05-13 09:05:00

楼上我不知道你改了什么...参考我文章里的图吧

作者: grant4343 (岩木之子) 2017-05-13 09:10:00

新增dword要怎么弄...有点不太清楚弄出来的东西要长什么样子

作者: ashes0305 (嘎咕) 2017-05-13 09:10:00

呃呃呃就我现在数值资料是 0000 00 00 00 00想请问他的默认值应该是什么这样

作者: grant4343 (岩木之子) 2017-05-13 09:18:00

阿看到怎么弄了谢谢楼主

作者: fongsi (fongsi) 2017-05-13 09:20:00

http://i.imgur.com/1cnEJzv.jpg不好意思，我的电脑没有HKLM开头的耶...

楼主: imasa (便当侠) 2017-05-13 09:21:00

HKLM是HKEY_LOCAL_MACHINE的缩写Vista跟Win7应该是一样的方法，但我无法验证

作者: fongsi (fongsi) 2017-05-13 09:27:00

谢谢楼楼上，找到了

作者: CaymanS (No Mercy) 2017-05-13 09:30:00

我是Win7，改完之后Google Drive就死掉了

作者: eggguy (eggguy) 2017-05-13 09:35:00

请问win7新增有分32位元跟64位元要选哪一种呢

作者: chinhan1216 (下巴翰) 2017-05-13 09:38:00

一个是DWORD 一个是QWORD

作者: eggguy (eggguy) 2017-05-13 09:40:00

哦哦感谢楼上我看出来了

作者: alex90236 (洋葱) 2017-05-13 09:41:00

请问其值设0 底值是采用默认16进位的吗?

作者: fongsi (fongsi) 2017-05-13 09:48:00

我win7 已成功！另外改完googledrive 没死掉

作者: LT26i (图书馆) 2017-05-13 09:52:00

我现在还不敢开机因为一开机就会直连WiFi ……

作者: brovet (阿搭原来我有小天使...) 2017-05-13 09:57:00

回alex 对重开机记得去下载大大给的测试档

作者: alex90236 (洋葱) 2017-05-13 09:59:00

OK谢谢楼上提醒!!刚刚是安装前去装您说的检测档您说的是下面那篇的对吧

作者: hc1118 (人˙非) 2017-05-13 10:04:00

Vista按照Win7方法关Smb1 成功谢谢

作者: Tiesna0730 (蛋营养青菜) 2017-05-13 10:18:00

推，谢谢楼主

作者: hn9480412 (ilinker) 2017-05-13 10:25:00

照微软的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才对

作者: just5566 (就是56) 2017-05-13 10:25:00

按照大大的方法修改、测试档显示成功！感谢大大！Y

作者: JiRui (GaRy) 2017-05-13 10:25:00

执行powershell要记得用系统管理员身份执行win8以上按win键，输入powershell，鼠标右键选以系统管理员身份执行

作者: OAO5566 (OAO) 2017-05-13 10:30:00

win7 64位元就选QWORD?

作者: paul40807 (ㄏㄏ弟) 2017-05-13 10:30:00

不一样选DWORD

楼主: imasa (便当侠) 2017-05-13 10:35:00

因为很多人问registry怎么加，新增了示意图

作者: playerkilled (揪团看电影) 2017-05-13 10:38:00

感谢I大，推

作者: OAO5566 (OAO) 2017-05-13 10:39:00

感谢原po,侦测档显示SMB1已关

作者: kentket (鱼~!) 2017-05-13 10:39:00

请问大大侦测城市说关闭SMB1就可以安心了吗好像推错篇囧

作者: arco 2017-05-13 10:49:00

感谢I大更新太久了先关掉SMB1再来更新比较安心一点了orz

作者: r1426000000 (Di) 2017-05-13 10:54:00

其值为0要怎么打

作者: gemini2010 (gemini) 2017-05-13 10:58:00

楼上，新增完后右键就可以改了

作者: cospergod (cospergod) 2017-05-13 11:05:00

感谢您的整理

作者: AAIOU (...) 2017-05-13 11:07:00

感谢您的分享，可惜昨晚已中奖，快来分享给朋友们，谢谢

作者: newage5566 (56新世纪) 2017-05-13 11:10:00

大大是在Parameters下还是LanmanServer新增呢图不一样

作者: n1m5w8tsarp (布丁棉花糖) 2017-05-13 11:11:00

推，感谢整理，已关闭SMB1

作者: r1426000000 (Di) 2017-05-13 11:15:00

好的，所以电脑是64位元一样新增32位元的就可以吗？谢谢gemini2010大大我是已经输入但，再跑一次还是没显示关闭

作者: qama (G.M.T.) 2017-05-13 11:19:00

请问关闭port445 https://goo.gl/JLylLxTransportBindName也要清空吗? 还是新增SMB1就好了呢？

作者: JieshinRS (油水夫夫住我家楼上) 2017-05-13 11:23:00

http://i.imgur.com/tDk2ipa.jpg要打上什么看不太懂QAQQQ

作者: Leaves1014 (ㄜㄜ) 2017-05-13 11:23:00

两件事是不同的吧多做多一道安心名称为 SMB1 类型为 REG_DWORD 值为 0

作者: JieshinRS (油水夫夫住我家楼上) 2017-05-13 11:25:00

http://i.imgur.com/lb4YIbX.jpg

作者: Leaves1014 (ㄜㄜ) 2017-05-13 11:26:00

yap～

作者: JieshinRS (油水夫夫住我家楼上) 2017-05-13 11:26:00

请问L大是这样吗……不好意思我是电脑白痴QAQQ谢谢L大！

作者: r1426000000 (Di) 2017-05-13 11:27:00

但我这样改完后重新开机依旧没显示有关闭欸

作者: Leaves1014 (ㄜㄜ) 2017-05-13 11:28:00

no thanks 我也是刚刚才学会的 XDa

作者: silentQoo (阿勃勒) 2017-05-13 11:28:00

请问电脑A(win7)中奖电脑B(win10)远端进入电脑A 电脑B会有事吗

作者: bloodruru (心在哪答案就在哪) 2017-05-13 11:53:00

推推感谢各位大神!!

作者: stopbucks (stopbucks) 2017-05-13 12:01:00

XP 给推，这个服务我很多年前就关闭，度过危机 @_@

作者: simpleclean (million ) 2017-05-13 12:32:00

请问是在LanmanServer下还是Parameters下?因为文字和图片说明是在不同资料夹

楼主: imasa (便当侠) 2017-05-13 12:36:00

Parameters下

作者: ss910126 (LEE) 2017-05-13 12:49:00

IMASA大请问我已经新增了，那个数值名称要改吗他现在叫做新数值#1

作者: saysayliam (肉松稀饭) 2017-05-13 12:58:00

改成SMB1

作者: LT26i (图书馆) 2017-05-13 12:58:00

楼上数直名称要改成SMB1还有为什么用手机看imgur的图都很模糊阿?

作者: ss910126 (LEE) 2017-05-13 13:07:00

L大感谢你的解答

作者: NTbill 2017-05-13 13:25:00

感谢大大的用心~~

作者: chi12345678 (to Terabithia) 2017-05-13 13:53:00

已改QQ感谢

作者: AirPenguin (...) 2017-05-13 14:02:00

请问更新过了还需要改吗?

作者: happysunny 2017-05-13 14:10:00

电脑白痴请问关闭这个会影响到什么功能呢想知道自己平常会不会用到谢谢

我以为新增那个就直接按0，但名字改回smb1是不是还要在开一次电脑？

作者: tyccu (mccmm) 2017-05-13 15:25:00

请问这个检测软件可以用在win8上面吗?? 谢谢

作者: gali (红与蓝) 2017-05-13 15:28:00

谢谢imasa大大指导!

作者: opoplop (Q) 2017-05-13 15:32:00

找不到HKLM...原来是简写

作者: SamMark (里维士官长) 2017-05-13 15:53:00

xp只要这样就没事囉

作者: tinomax (2016巨人输了 Q Q) 2017-05-13 15:58:00

已关闭，谢大大指导 :)

作者: yl20649 (很受伤) 2017-05-13 16:04:00

感谢帮助

作者: Ertkkpoo (Good) 2017-05-13 16:04:00

请问我打开命令提示字符，无法打c:/tool?? win8.1

作者: Adven (电风扇) 2017-05-13 17:04:00

HKeyLocalMachine

作者: bluerain5406 (Xman) 2017-05-13 17:51:00

谢谢推推

作者: hhll5566 (å¿½æºœ56) 2017-05-13 18:06:00

红明显 smb1还是true的状态(win8.1)我想请问照您的指令下去做是不是没有修改到任何设定呢第一个指令输入后也要跳出询问的讯息也是一样直接enter吗？如果这样是不是都没修改到默认值吗？恳请赐教没事了所有是要以系统管理员身分执行？如果是这样那就ok了感谢您的用心

作者: bojinlee (趴带..) 2017-05-13 18:16:00

感谢提供资讯

作者: jack42107 (小克) 2017-05-13 18:26:00

升级Win10当然可以预防啊因为关不掉更新

作者: a5413eric (a5413eric) 2017-05-13 19:30:00

http://i.imgur.com/YJzvJbH.jpg 想问这样安全了吗还是还有可以加强的?

楼主: imasa (便当侠) 2017-05-13 19:48:00

暂时补强了只剩安装更新

作者: a5413eric (a5413eric) 2017-05-13 20:00:00

我是有安装KB4019264更新了

作者: akay08 (Ara_K) 2017-05-13 20:46:00

推推

作者: shaume (可恶) 2017-05-13 21:16:00

http://imgur.com/1xReWce 要关掉SMB却出现这个讯息，是有什么问题吗?

楼主: imasa (便当侠) 2017-05-13 22:20:00

你这使用者可能没有管理员权限

作者: shaume (可恶) 2017-05-13 22:24:00

我之前有照版上文章设定两个使用者，所以我是要切换到有管理员权限的使用这再操作吗?

作者: itoh (itohmakoto) 2017-05-13 22:37:00

感谢您提供XP关掉SMB1的方法

作者: berton928765 (berton) 2017-05-13 23:52:00

推

作者: abxtpml56 (旅程，没有目的地) 2017-05-14 00:11:00

谢谢分享一生平安

作者: ariston 2017-05-14 01:18:00

感谢英雄出手相助

作者: chrise (Deer) 2017-05-14 03:28:00

抱歉电脑白痴 win7重新开机后要如何知道有没有关闭smb1成功第2步骤是需要执行的吗

作者: Looming (time to change) 2017-05-14 09:00:00

感谢分享好人有好报

作者: s1032kj (无聊) 2017-05-14 11:03:00

感谢

作者: LTJKH (LTJKH) 2017-05-14 12:20:00

感谢大大.... 已关闭

作者: sa12e3 2017-05-14 19:47:00

https://www.youtube.com/watch?v=uVLDIynuaL4

作者: light531 ((‧(工)‧)/ ) 2017-05-14 20:01:00

推

继续阅读

[求救] Chrome自动跳视窗pomeloyou Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统st09094238 [合购] 卡巴斯基全方位五台两年jessica805 Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统abadjoke [问题] 更新后重开还有机会被勒索吗x526542012 Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统qxxrbull [请益] 大约2个月都没有开机的win7 会不会中毒？x8031452 Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统fo40225 [求救] 中勒索病毒后若重灌被加密的档案能留吗?dany419ow Re: [情报] WanaCrypt0r 2.0 大规...(内文已大修过)paul40807