Re: [情報] WanaCrypt0r 2.0 大規...(內文已大修過)

看板AntiVirus作者paul40807 (ㄧㄎ)時間7年前 (2017/05/13 00:43)推噓244(245推 1噓 206→)

留言452則, 202人參與討論串1/1

我整篇文章修飾整理了這樣閱讀起來應該會比較舒服後面有常見QA 應該可以解決一些版友的問題 ===========================以下攻擊相關資訊可skip======================== 本次攻擊疑似是利用MS17-010漏洞攻擊該漏洞已經在3月更新中毒的狀況也與是否有安裝3月安全性更新大致相符因此盲狙推斷是本漏洞造成問題以下是本人小小整理的MS17-010漏洞資訊攻擊手法:攻擊 Microsoft Windows SMB漏洞漏洞編號:MS17-010(CVE-2017-0143~CVE-2017-0148) 漏洞造成的問題:可遠端執行程式碼已改善:是(整合在微軟2017/3月安全性整合更新 17/3/14發佈) 受影響系統: Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT, Server 2008, 2008 R2, 2012, 2012 R2 已釋出更新: Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT, Server 2008, 2008 R2, 2012, 2012 R2 註:藍字代表該系統在5/13釋出更新其餘都是3/14 關於MS17-010: https://goo.gl/Ivx5Xr ===========================以上攻擊相關資訊可skip============================= 請注意以下內容中 Windows8 與 Windows8.1 是完全不同的請不要混淆兩者請至控制台>Windows Update>檢視更新紀錄查詢自己電腦的更新紀錄作業系統 3月 4月 5月 5/13特別釋出更新 Windows XP KB4012598 Windows Vista KB4012598 Windows 7 KB4012215 KB4015549 KB4019264 Windows 8 KB4012598 Windows 8.1 KB4012216 KB4015550 KB4019215 已安裝上述任一更新(新的更新會包含之前月份的所以有其中一個安裝成功即可) 代表應可防範此次攻擊控制台>Windows Update>檢視更新紀錄可查詢電腦是否有安裝成功若尚未安裝請先斷網並按照下面方式進行更新修補每一個動作都是必要的請按照順序做 ●Windows 10 除非您手動關閉更新否則一般來說都是更新完成的若不放心可直接更新到1703 ●非Windows 10 系統 ===Step 1.關閉 SMB 1.0/CIFS 檔案共用支援此步驟為必要若不做可能會在更新尚未完成時受到攻擊若您現在暫時無法更新系統此方法可以暫時防止此次病毒 ●Windows XP 關閉網路上的芳鄰(請更新完之後再打開) ●方法一:適用Windows Vista,7,8,8.1 內容方式摘錄自imasa大大的文章若有關閉SMB的相關問題請到那篇回覆 1.按 Windows鍵+R 2.輸入regedit之後按Enter 3.找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 如圖http://imgur.com/4NvwlRZ.png

4.新增DWORD key SMB1,值設定為0 在空白處按右鍵>新增>DWORD(32位元)值名稱鍵入SMB1 不管你是x86還是x64都是 http://imgur.com/y5z0Upk.png

之後在新增的項目中按右鍵修改 http://imgur.com/jDXmhQn.png

修改資料為0 http://imgur.com/zbUqfVc.png

修改完成後請重新開機 ●方法二:適用Windows 8.1 1.開啟控制台>程式集>開啟或關閉Windows功能 2.把SMB 1.0/CIFS 檔案共用支援勾勾取消掉 3.重新開機 ===Step 2.更新Windows 註:x86=32位元 x64=64位元在微軟官方通常x64會特別註明64位元 x86不會特別寫32位元 2-A.可利用系統內建之Windows Update程式更新 2-B.可利用下載的更新套件更新這是官方的Windows更新載點 http://www.catalog.update.microsoft.com/ 之後鍵入您需要的套件號碼即可搜尋到檔案另外由於使用人數眾多(全球都在更新) 所以網站可能會出現異常或下載緩慢以下是Win7與Win8.1的分流載點 Windows 7 KB4012215 Windows 8.1 KB4012216 GD1:https://goo.gl/q6f1Tu GD1:https://goo.gl/tbvuWI GD2:https://goo.gl/eM58dG GD2:https://goo.gl/nZSJ92 GD3:https://goo.gl/FcrqR5 GD3:https://goo.gl/oC3mvR MG :https://goo.gl/t199Mc ※以上分流來源:Facebook社團「電腦DIY 組裝 - 維修.疑難雜症討論區」 https://goo.gl/0O57il ●Windows XP 及 Windows 8 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 進入上述網址後選擇您的作業系統即可 Windows SP3 x86個人分流 GD: https://goo.gl/dWc23K 本人(paul40807)親傳證明 http://imgur.com/GzZfJxM.png

Windows 8的原檔我搶不到無法製作分流先跟各位說聲不好意思 ===Step 3.檢查病毒是否已經入侵潛伏或加密中請直接參考下列內文操作 https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html (未中毒) Step 4A.再度開啟SMB/XP:網路上的芳鄰(可不做) 若會使用到此功能可再開啟若不會也不需要開啟根據經驗一般使用者是用不到的最後恭喜您未中獎請繼續保持良好的更新及使用習慣避免受到其他新勒索軟體的威脅若您是Windows XP,Vista或Windows 8使用者真心的建議您更新至Windows 10或其他尚未停止更新的作業系統 Windows 8 的序號可直接使用在Windows 10 1607以後的版本建議各位版友趁此次機會更新 (已中毒) Step 4B.後續處理請立刻關機拔除資料碟開安全模式並清除病毒清除病毒之後建議安裝&更新到最新Avast等可設定開機掃描的防毒軟體再接回資料碟並且設定開機掃描然後立刻重新開機讓防毒軟體檢查是否有殘存病毒在資料碟中若檢查一切OK 請立刻重灌系統(或升級到Windows10) Avast開機掃描圖 http://imgur.com/qJxjs2R.jpg

祝福大家珍貴的資料都能夠守護好常見Q&A Q1:我是Win7/8/8.1使用者現在想要更新Win10 還來的及嗎 A:可以您只需要去有點軟官方下載工具就可以直接使用Win7/8/8.1的序號安裝Windows10 官方載點:https://www.microsoft.com/zh-tw/software-download/windows10 Q2:我是Windows 10 1507,1511,1607的使用者有需要升級到1703嗎 A:不用因為這次的事件搶著升級1703 因為沒差 1607 1511 1507都已經在3/14收到更新了如果沒有從regedit關閉Update Server的話理論上都已經被愛的更新了當然 1703 一開始就已經修復這個漏洞有強迫症的話可能覺得比較安全 Q3:更新一直失敗怎麼辦 A:重新開機再安裝可以試試看若不能解決請爬文 Q4:我安裝自行去官方下載或是您提供的安裝包出現「更新不適用」 A:有兩種可能第一種是系統太舊 Windows太舊導致無法安裝另外一種是你已經安裝更(ㄍㄥˋ)新的更新套件也可能會出現更新不適用的提示 ※ 引述《leon19790602 (())》之銘言： : 來源：https://twitter.com/malwrhunterteam : MalwareHunterTeam表示 : WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統 : 不到2小時的時間中已經造成重大災情，第一波主要的攻擊目標為： : Taiwan : Russia : Turkey : Kazakhstan : Indonesia : Vietnam : Japan : Spain : Germany : Ukraine : Philippines : 等國家 : 目前影響最嚴重的國家台灣排名第二 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.142.105.177 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html

推

05/13 00:46, , 1^F

05/13 00:46, 1^F

推

05/13 00:47, , 2^F

05/13 00:47, 2^F

推

05/13 00:48, , 3^F

05/13 00:48, 3^F

→

05/13 00:49, , 4^F

05/13 00:49, 4^F

→

05/13 00:50, , 5^F

05/13 00:50, 5^F

→

05/13 00:50, , 6^F

05/13 00:50, 6^F

推

05/13 00:52, , 7^F

05/13 00:52, 7^F

→

05/13 00:52, , 8^F

05/13 00:52, 8^F

推

05/13 00:54, , 9^F

05/13 00:54, 9^F

推

05/13 00:54, , 10^F

05/13 00:54, 10^F

→

05/13 00:54, , 11^F

05/13 00:54, 11^F

推

05/13 00:56, , 12^F

05/13 00:56, 12^F

推

05/13 00:56, , 13^F

05/13 00:56, 13^F

推

05/13 00:58, , 14^F

05/13 00:58, 14^F

我個人研判是010 006是IE相關這次跟用IE比較無關 010是SMB伺服器也比較符合反正兩者都整合在3月更新就對了

推

05/13 00:59, , 15^F

05/13 00:59, 15^F

推

05/13 01:00, , 16^F

05/13 01:00, 16^F

→

05/13 01:02, , 17^F

05/13 01:02, 17^F

推

05/13 01:03, , 18^F

05/13 01:03, 18^F

→

05/13 01:03, , 19^F

05/13 01:03, 19^F

→

05/13 01:03, , 20^F

05/13 01:03, 20^F

Win10通通被微軟愛的更新了很少會有問題連1507都有接受到滿滿的愛

推

05/13 01:04, , 21^F

05/13 01:04, 21^F

→

05/13 01:05, , 22^F

05/13 01:05, 22^F

推

05/13 01:06, , 23^F

05/13 01:06, 23^F

→

05/13 01:06, , 24^F

05/13 01:06, 24^F

推

05/13 01:06, , 25^F

05/13 01:06, 25^F

→

05/13 01:06, , 26^F

05/13 01:06, 26^F

推

05/13 01:06, , 27^F

05/13 01:06, 27^F

→

05/13 01:07, , 28^F

05/13 01:07, 28^F

→

05/13 01:07, , 29^F

05/13 01:07, 29^F

→

05/13 01:08, , 30^F

05/13 01:08, 30^F

→

05/13 01:08, , 31^F

05/13 01:08, 31^F

→

05/13 01:08, , 32^F

05/13 01:08, 32^F

推

05/13 01:09, , 33^F

05/13 01:09, 33^F

全世界都在更新

→

05/13 01:09, , 34^F

05/13 01:09, 34^F

推

05/13 01:09, , 35^F

05/13 01:09, 35^F

推

05/13 01:11, , 36^F

05/13 01:11, 36^F

還有 376 則推文

還有 76 段內文

推

05/14 11:30, , 413^F

05/14 11:30, 413^F

→

05/14 12:08, , 414^F

05/14 12:08, 414^F

推

05/14 13:53, , 415^F

05/14 13:53, 415^F

推

05/14 14:12, , 416^F

05/14 14:12, 416^F

推

05/14 15:19, , 417^F

05/14 15:19, 417^F

推

05/14 15:22, , 418^F

05/14 15:22, 418^F

推

05/14 17:40, , 419^F

05/14 17:40, 419^F

→

05/14 17:40, , 420^F

05/14 17:40, 420^F

→

05/14 17:41, , 421^F

05/14 17:41, 421^F

→

05/14 17:43, , 422^F

05/14 17:43, 422^F

→

05/14 17:43, , 423^F

05/14 17:43, 423^F

→

05/14 17:44, , 424^F

05/14 17:44, 424^F

推

05/14 17:45, , 425^F

05/14 17:45, 425^F

推

05/14 19:07, , 426^F

05/14 19:07, 426^F

→

05/14 19:47, , 427^F

05/14 19:47, 427^F

推

05/14 23:24, , 428^F

05/14 23:24, 428^F

推

05/14 23:30, , 429^F

05/14 23:30, 429^F

推

05/15 00:04, , 430^F

05/15 00:04, 430^F

→

05/15 00:25, , 431^F

05/15 00:25, 431^F

推

05/15 00:49, , 432^F

05/15 00:49, 432^F

推

05/15 01:12, , 433^F

05/15 01:12, 433^F

→

05/15 01:13, , 434^F

05/15 01:13, 434^F

推

05/15 03:47, , 435^F

05/15 03:47, 435^F

推

05/15 09:22, , 436^F

05/15 09:22, 436^F

推

05/15 09:58, , 437^F

05/15 09:58, 437^F

→

05/15 09:58, , 438^F

05/15 09:58, 438^F

→

05/15 09:59, , 439^F

05/15 09:59, 439^F

推

05/15 11:57, , 440^F

05/15 11:57, 440^F

推

05/15 18:04, , 441^F

05/15 18:04, 441^F

推

05/15 19:15, , 442^F

05/15 19:15, 442^F

→

05/15 19:15, , 443^F

05/15 19:15, 443^F

→

05/15 19:15, , 444^F

05/15 19:15, 444^F

→

05/15 21:19, , 445^F

05/15 21:19, 445^F

→

05/15 21:19, , 446^F

05/15 21:19, 446^F

推

05/15 21:19, , 447^F

05/15 21:19, 447^F

→

05/15 21:23, , 448^F

05/15 21:23, 448^F

推

05/16 01:01, , 449^F

05/16 01:01, 449^F

推

05/16 02:36, , 450^F

05/16 02:36, 450^F

→

05/16 02:36, , 451^F

05/16 02:36, 451^F

推

05/17 16:45, , 452^F

05/17 16:45, 452^F

‣ 返回看板[ AntiVirus ] 防毒

‣ 更多 paul40807 的文章

文章代碼(AID): #1P5UOwpc (AntiVirus)