1. PTT
  2. AntiVirus

Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统

楼主: imasa (便当侠)   2017-05-13 04:32:22
※ 引述《leon19790602 (())》之铭言:
: 来源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大规模攻击未更新的漏洞系统
: 不到2小时的时间中已经造成重大灾情,第一波主要的攻击目标为:
: Taiwan
注意:此方法只能预防不能治疗
如果你的档案已经开始被加密那就不用继续看下去了
WanaCrypt0r 2.0据说是根据微软前阵子被揭发的MS17-010漏洞制作Exploit来加以攻击的
所以理论上我们可以手动把会引起该漏洞的SMBv1服务关闭来让他攻击失败
Windows 7/2008:
1.执行regedit,到 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
底下新增 DWORD key SMB1, 其值为0
以下是新增动作示意图
http://imgur.com/hOk0bkH
2. 重新开机
设定registry之前:
EternalBlue可攻击成功
http://imgur.com/RIF7cXJ
设定registry之后:
EternalBlue攻击失败
http://imgur.com/izhUCbo
Windows 8以上:
1. 打开 command提示视窗、执行powershell
2. 执行 set-ExecutionPolicy Unrestricted
3. 执行 set-SmbServerConfiguration -EnableSMB1Protocol $false
4. 出现问你要不要修改SMB Server Configuration的确认提示、选 Y (默认值、直接按Enter也可)
5 可以使用 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol 来检查是否设定成功
6. 重新开机
如果看不太懂上面的描述
可以参考下面的图来输入上面的指令
http://imgur.com/x4HoZrQ
Windows XP:
请关闭网络连线内容的 File and Printer Sharing for Microsoft Networks
1. 开始 -> 设定 -> 控制台 -> 网络连线
2. 选择你的对外连线(例如区域连线这种名字)、按右键选内容
3. 把 File and Printer Sharing for Microsoft Networks 旁边的勾勾取消
4. 重新开机 (似乎没必要、但保险起见还是重开吧)
关闭前:
http://imgur.com/YD6J8eq
关闭后:
http://imgur.com/5f85YBY
如果这服务你非用不可的话、那建议你还是换系统吧.....
不过还是奉劝大家
能安装更新还是请尽快安装
这只是救急法
而且只能阻挡利用此漏洞的病毒和Ransomeware
一但有变种出现你可能照样会中招
另外关于EternalBlue的攻击方式
可以参见我写的简单分析文章
有兴趣的人可以看看
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
在此就先不浪费篇幅在这post了
作者: bignose0623 (Tim)   2017-05-13 04:41:00
不好意思,请问一下那直接升级win10就能预防吗? 小弟win7 都有自动更新,目前应该没事...
楼主: imasa (便当侠)   2017-05-13 04:41:00
Win10目前不会被攻击
作者: bajiqa (多尔)   2017-05-13 04:42:00
这部是更新到10就没事,这次是利用漏洞造成的,而且很多人不更新系统,平常又不备份,或者也不开防护,才会造成问题
作者: dustin79427 (我不是故意的)   2017-05-13 04:43:00
不好意思问一下 1月多更新 现在有必要补更新吗 上次更新电脑好像死机
楼主: imasa (便当侠)   2017-05-13 04:45:00
我这篇写的是不补更新的方法、要补更新的人请参考前文
作者: bajiqa (多尔)   2017-05-13 04:47:00
3月才把洞补起来,而你只更新到1月,你觉得危不危险
作者: dustin79427 (我不是故意的)   2017-05-13 04:47:00
好的
作者: bignose0623 (Tim)   2017-05-13 04:47:00
所以说还是要先备份啊,感谢各位先进
作者: bajiqa (多尔)   2017-05-13 04:47:00
机器会当你要先确认是什么原因造成,而不是怕当机就不更新
作者: gowaa (囧mmmmmmmmmmmz)   2017-05-13 04:48:00
总是要更新重要问题吧 虽然我也有更新到 还是怕怕的0rz
作者: hpo14 (hpo14)   2017-05-13 05:06:00
作者: willy5566 (5566)   2017-05-13 05:11:00
大大 请问win8是SMB1 false ,SMB2 true吗?^改完后
楼主: imasa (便当侠)   2017-05-13 05:13:00
yes
作者: willy5566 (5566)   2017-05-13 05:19:00
大大再请问一下 更新了之后 要再回来开启SMB1吗?
楼主: imasa (便当侠)   2017-05-13 05:26:00
不用改了,微软早在去年就建议关闭了,除非你真的有需要
作者: bignose0623 (Tim)   2017-05-13 05:28:00
想请问如何知道电脑有无中奖?在档案尚未察觉被加密前,感谢
作者: johnny3 (キラ☆)   2017-05-13 05:39:00
MS:你们再骂win10强制自动更新嘛
作者: sam613 (Hikaru)   2017-05-13 06:08:00
其实,如果没有要开分享什么的,可以直接关server service
作者: luuuking (鲁王)   2017-05-13 06:28:00
感谢原po的用心整理
作者: akay08 (Ara_K)   2017-05-13 06:42:00
推推
作者: koala7124 (koala)   2017-05-13 07:17:00
五月以前我也是停用更新 之前一更新就停在搜寻更新阶段 然后cpu飙高 五月初心血来潮点了手动更新 又通通正常了 怪乎 真是好险
作者: F16V (Manners maketh man.)   2017-05-13 07:37:00
出现拒绝存取登录机码该?
作者: kohinata (坂东隐世武者)   2017-05-13 07:59:00
请问机码设定完后 该从哪边确认我有确实关闭SMB1 (win7)我用netstat 还是有445 不过是0.0.0.0 listening
楼主: imasa (便当侠)   2017-05-13 08:03:00
可以参考我另一篇文章 执行侦测程式来确定是否有关闭SMBv1
作者: zsp8084 (UNSSS)   2017-05-13 08:09:00
感谢
作者: dave9898 (黛芙走吧)   2017-05-13 08:16:00
拒绝存取的是不是没用系统管理员身分执行
作者: sam613 (Hikaru)   2017-05-13 08:18:00
lol...用管理员也是写拒绝存取
作者: rbdgemzo (Mark)   2017-05-13 08:20:00
感谢推
作者: F16V (Manners maketh man.)   2017-05-13 08:21:00
管理员一样
作者: hc1118 (人˙非)   2017-05-13 08:21:00
想问vista要怎么关smb1??
作者: rbdgemzo (Mark)   2017-05-13 08:23:00
没推到 补脱
作者: pokerfaceid (扑克脸)   2017-05-13 08:26:00
推 注意打进去的空格位置要跟原po的完全一样
作者: ross800127 (ROSS-MAX)   2017-05-13 08:45:00
都没人在看置底的防毒观念吗?
作者: ashes0305 (嘎咕)   2017-05-13 08:54:00
啊...我不小心用到编辑到size/small/medium/large的二进制值 要怎么办QQ
楼主: imasa (便当侠)   2017-05-13 08:55:00
楼上,删除重加就好了
作者: ashes0305 (嘎咕)   2017-05-13 08:57:00
楼上 请问我需要输入什么QQ还是重开机就好
楼主: imasa (便当侠)   2017-05-13 09:05:00
楼上 我不知道你改了什么...参考我文章里的图吧
作者: grant4343 (岩木之子)   2017-05-13 09:10:00
新增dword要怎么弄...有点不太清楚弄出来的东西要长什么样子
作者: ashes0305 (嘎咕)   2017-05-13 09:10:00
呃呃呃就我现在数值资料是 0000 00 00 00 00想请问他的默认值应该是什么这样
作者: grant4343 (岩木之子)   2017-05-13 09:18:00
阿 看到怎么弄了 谢谢楼主
作者: fongsi (fongsi)   2017-05-13 09:20:00
http://i.imgur.com/1cnEJzv.jpg不好意思,我的电脑没有HKLM开头的耶...
楼主: imasa (便当侠)   2017-05-13 09:21:00
HKLM是HKEY_LOCAL_MACHINE的缩写Vista跟Win7应该是一样的方法,但我无法验证
作者: fongsi (fongsi)   2017-05-13 09:27:00
谢谢楼楼上,找到了
作者: CaymanS (No Mercy)   2017-05-13 09:30:00
我是Win7,改完之后Google Drive就死掉了
作者: eggguy (eggguy)   2017-05-13 09:35:00
请问win7新增有分32位元跟64位元要选哪一种呢
作者: chinhan1216 (下巴翰)   2017-05-13 09:38:00
一个是DWORD 一个是QWORD
作者: eggguy (eggguy)   2017-05-13 09:40:00
哦哦 感谢楼上 我看出来了
作者: alex90236 (洋葱)   2017-05-13 09:41:00
请问其值设0 底值是采用默认16进位的吗?
作者: fongsi (fongsi)   2017-05-13 09:48:00
我win7 已成功! 另外改完googledrive 没死掉
作者: LT26i (图书馆)   2017-05-13 09:52:00
我现在还不敢开机 因为一开机就会直连WiFi ……
作者: brovet (阿搭 原来我有小天使...)   2017-05-13 09:57:00
回alex 对 重开机记得去下载大大给的测试档
作者: alex90236 (洋葱)   2017-05-13 09:59:00
OK谢谢楼上提醒!!刚刚是安装前去装您说的检测档 您说的是下面那篇的对吧
作者: hc1118 (人˙非)   2017-05-13 10:04:00
Vista按照Win7方法关Smb1 成功 谢谢
作者: Tiesna0730 (蛋营养青菜)   2017-05-13 10:18:00
推,谢谢楼主
作者: hn9480412 (ilinker)   2017-05-13 10:25:00
照微软的描述Win 7是要在HKLM\_LOCAL_MACHIE\下才对
作者: just5566 (就是56)   2017-05-13 10:25:00
按照大大的方法修改、测试档显示成功!感谢大大!Y
作者: JiRui (GaRy)   2017-05-13 10:25:00
执行powershell要记得用系统管理员身份执行win8以上按win键,输入powershell,鼠标右键选以系统管理员身份执行
作者: OAO5566 (OAO)   2017-05-13 10:30:00
win7 64位元就选QWORD?
作者: paul40807 (ㄏㄏ弟)   2017-05-13 10:30:00
不 一样选DWORD
楼主: imasa (便当侠)   2017-05-13 10:35:00
因为很多人问registry怎么加,新增了示意图
作者: playerkilled (揪团看电影)   2017-05-13 10:38:00
感谢I大,推
作者: OAO5566 (OAO)   2017-05-13 10:39:00
感谢原po,侦测档显示SMB1已关
作者: kentket (鱼~!)   2017-05-13 10:39:00
请问大大 侦测城市说关闭SMB1就可以安心了吗好像推错篇 囧
作者: arco   2017-05-13 10:49:00
感谢I大 更新太久了先关掉SMB1再来更新比较安心一点了orz
作者: r1426000000 (Di)   2017-05-13 10:54:00
其值为0要怎么打
作者: gemini2010 (gemini)   2017-05-13 10:58:00
楼上,新增完后右键就可以改了
作者: cospergod (cospergod)   2017-05-13 11:05:00
感谢您的整理
作者: AAIOU (...)   2017-05-13 11:07:00
感谢您的分享,可惜昨晚已中奖,快来分享给朋友们,谢谢
作者: newage5566 (56新世纪)   2017-05-13 11:10:00
大大是在Parameters下还是LanmanServer新增呢图不一样
作者: n1m5w8tsarp (布丁棉花糖)   2017-05-13 11:11:00
推,感谢整理,已关闭SMB1
作者: r1426000000 (Di)   2017-05-13 11:15:00
好的,所以电脑是64位元一样新增32位元的就可以吗?谢谢gemini2010大大我是已经输入但,再跑一次还是没显示关闭
作者: qama (G.M.T.)   2017-05-13 11:19:00
请问关闭port445 https://goo.gl/JLylLxTransportBindName也要清空吗? 还是新增SMB1就好了呢?
作者: JieshinRS (油水夫夫住我家楼上)   2017-05-13 11:23:00
http://i.imgur.com/tDk2ipa.jpg要打上什么 看不太懂QAQQQ
作者: Leaves1014 (ㄜㄜ)   2017-05-13 11:23:00
两件事是不同的吧 多做多一道安心名称为 SMB1 类型为 REG_DWORD 值为 0
作者: JieshinRS (油水夫夫住我家楼上)   2017-05-13 11:25:00
http://i.imgur.com/lb4YIbX.jpg
作者: Leaves1014 (ㄜㄜ)   2017-05-13 11:26:00
yap~
作者: JieshinRS (油水夫夫住我家楼上)   2017-05-13 11:26:00
请问L大是这样吗……不好意思我是电脑白痴QAQQ谢谢L大!
作者: r1426000000 (Di)   2017-05-13 11:27:00
但我这样改完后重新开机依旧没显示有关闭欸
作者: Leaves1014 (ㄜㄜ)   2017-05-13 11:28:00
no thanks 我也是刚刚才学会的 XDa
作者: silentQoo (阿勃勒)   2017-05-13 11:28:00
请问电脑A(win7)中奖 电脑B(win10)远端进入电脑A 电脑B会有事吗
作者: bloodruru (心在哪 答案就在哪)   2017-05-13 11:53:00
推推 感谢各位大神!!
作者: stopbucks (stopbucks)   2017-05-13 12:01:00
XP 给推,这个服务我很多年前就关闭,度过危机 @_@
作者: simpleclean (million )   2017-05-13 12:32:00
请问是在LanmanServer下还是Parameters下?因为文字和图片说明 是在不同资料夹
楼主: imasa (便当侠)   2017-05-13 12:36:00
Parameters下
作者: ss910126 (LEE)   2017-05-13 12:49:00
IMASA大请问我已经新增了,那个数值名称要改吗他现在叫做新数值#1
作者: saysayliam (肉松稀饭)   2017-05-13 12:58:00
改成SMB1
作者: LT26i (图书馆)   2017-05-13 12:58:00
楼上 数直名称要改成SMB1还有 为什么用手机看imgur的图都很模糊阿?
作者: ss910126 (LEE)   2017-05-13 13:07:00
L大感谢你的解答
作者: NTbill   2017-05-13 13:25:00
感谢大大的用心~~
作者: chi12345678 (to Terabithia)   2017-05-13 13:53:00
已改QQ感谢
作者: AirPenguin (...)   2017-05-13 14:02:00
请问更新过了还需要改吗?
作者: happysunny   2017-05-13 14:10:00
电脑白痴请问关闭这个会影响到什么功能呢 想知道自己平常会不会用到 谢谢
作者: auikolin (金剛我老婆)   2017-05-13 15:25:00
我以为新增那个就直接按0,但名字改回smb1是不是还要在开一次电脑?
作者: tyccu (mccmm)   2017-05-13 15:25:00
请问这个检测软件可以用在win8上面吗?? 谢谢
作者: gali (红与蓝)   2017-05-13 15:28:00
谢谢imasa大大指导!
作者: opoplop (Q)   2017-05-13 15:32:00
找不到HKLM...原来是简写
作者: SamMark (里维士官长)   2017-05-13 15:53:00
xp只要这样就没事囉
作者: tinomax (2016巨人输了 Q Q)   2017-05-13 15:58:00
已关闭,谢大大指导 :)
作者: yl20649 (很受伤)   2017-05-13 16:04:00
感谢帮助
作者: Ertkkpoo (Good)   2017-05-13 16:04:00
请问我打开命令提示字符,无法打c:/tool?? win8.1
作者: Adven (电风扇)   2017-05-13 17:04:00
HKeyLocalMachine
作者: bluerain5406 (Xman)   2017-05-13 17:51:00
谢谢 推推
作者: hhll5566 (忽溜56)   2017-05-13 18:06:00
红明显 smb1还是true的状态(win8.1)我想请问照您的指令下去做是不是没有修改到任何设定呢第一个指令输入后也要跳出询问的讯息 也是一样直接enter吗?如果这样是不是都没修改到默认值吗?恳请赐教没事了所有是要以系统管理员身分执行?如果是这样那就ok了 感谢您的用心
作者: bojinlee (趴带..)   2017-05-13 18:16:00
感谢提供资讯
作者: jack42107 (小克)   2017-05-13 18:26:00
升级Win10当然可以预防啊 因为关不掉更新
作者: a5413eric (a5413eric)   2017-05-13 19:30:00
http://i.imgur.com/YJzvJbH.jpg 想问这样安全了吗 还是还有可以加强的?
楼主: imasa (便当侠)   2017-05-13 19:48:00
暂时补强了 只剩安装更新
作者: a5413eric (a5413eric)   2017-05-13 20:00:00
我是有安装KB4019264更新了
作者: akay08 (Ara_K)   2017-05-13 20:46:00
推推
作者: shaume (可恶)   2017-05-13 21:16:00
http://imgur.com/1xReWce 要关掉SMB却出现这个讯息,是有什么问题吗?
楼主: imasa (便当侠)   2017-05-13 22:20:00
你这使用者可能没有管理员权限
作者: shaume (可恶)   2017-05-13 22:24:00
我之前有照版上文章设定两个使用者,所以我是要切换到有管理员权限的使用这再操作吗?
作者: itoh (itohmakoto)   2017-05-13 22:37:00
感谢您提供XP关掉SMB1的方法
作者: berton928765 (berton)   2017-05-13 23:52:00
作者: abxtpml56 (旅程,没有目的地)   2017-05-14 00:11:00
谢谢分享 一生平安
作者: ariston   2017-05-14 01:18:00
感谢英雄出手相助
作者: chrise (Deer)   2017-05-14 03:28:00
抱歉电脑白痴 win7重新开机后要如何知道有没有关闭smb1成功 第2步骤是需要执行的吗
作者: Looming (time to change)   2017-05-14 09:00:00
感谢分享 好人有好报
作者: s1032kj (无聊)   2017-05-14 11:03:00
感谢
作者: LTJKH (LTJKH)   2017-05-14 12:20:00
感谢大大.... 已关闭
作者: sa12e3   2017-05-14 19:47:00
https://www.youtube.com/watch?v=uVLDIynuaL4
作者: light531 ((‧(工)‧)/ )   2017-05-14 20:01:00
继续阅读
[求救] Chrome自动跳视窗pomeloyouRe: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统st09094238[合购] 卡巴斯基全方位五台两年jessica805Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统abadjoke[问题] 更新后重开还有机会被勒索吗x526542012Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统qxxrbull[请益] 大约2个月都没有开机的win7 会不会中毒?x8031452Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统fo40225[求救] 中勒索病毒后 若重灌被加密的档案能留吗?dany419owRe: [情报] WanaCrypt0r 2.0 大规...(内文已大修过)paul40807

Links booklink

Contact Us: admin [ a t ] ucptt.com