Re: [情報] WanaCrypt0r 2.0 大規...(內文已大修過)
我整篇文章修飾整理了 這樣閱讀起來應該會比較舒服
後面有常見QA 應該可以解決一些版友的問題
===========================以下攻擊相關資訊 可skip========================
本次攻擊疑似是利用MS17-010漏洞攻擊
該漏洞已經在3月更新 中毒的狀況也與是否有安裝3月安全性更新大致相符
因此盲狙推斷是本漏洞造成問題
以下是本人小小整理的MS17-010漏洞資訊
攻擊手法:攻擊 Microsoft Windows SMB漏洞
漏洞編號:MS17-010(CVE-2017-0143~CVE-2017-0148)
漏洞造成的問題:可遠端執行程式碼
已改善:是(整合在微軟2017/3月安全性整合更新 17/3/14發佈)
受影響系統:
Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT,
Server 2008, 2008 R2, 2012, 2012 R2
已釋出更新:
Windows XP,Vista,7,8,8.1,10(1507,1511,1607),Windows RT,
Server 2008, 2008 R2, 2012, 2012 R2
註:藍字代表該系統在5/13釋出更新 其餘都是3/14
關於MS17-010: https://goo.gl/Ivx5Xr
===========================以上攻擊相關資訊 可skip=============================
請注意 以下內容中 Windows8 與 Windows8.1 是完全不同的 請不要混淆兩者
請至控制台>Windows Update>檢視更新紀錄 查詢自己電腦的更新紀錄
作業系統 3月 4月 5月 5/13特別釋出更新
Windows XP KB4012598
Windows Vista KB4012598
Windows 7 KB4012215 KB4015549 KB4019264
Windows 8 KB4012598
Windows 8.1 KB4012216 KB4015550 KB4019215
已安裝上述任一更新(新的更新會包含之前月份的 所以有其中一個安裝成功即可)
代表應可防範此次攻擊
控制台>Windows Update>檢視更新紀錄 可查詢電腦是否有安裝成功
若尚未安裝 請先斷網並按照下面方式進行更新修補
每一個動作都是必要的 請按照順序做
●Windows 10
除非您手動關閉更新 否則一般來說都是更新完成的 若不放心可直接更新到1703
●非Windows 10 系統
===Step 1.關閉 SMB 1.0/CIFS 檔案共用支援
此步驟為必要 若不做可能會在更新尚未完成時受到攻擊
若您現在暫時無法更新系統 此方法可以暫時防止此次病毒
●Windows XP
關閉網路上的芳鄰(請更新完之後再打開)
●方法一:適用Windows Vista,7,8,8.1
內容方式摘錄自imasa大大的文章
若有關閉SMB的相關問題請到那篇回覆
1.按 Windows鍵+R
2.輸入regedit之後按Enter
3.找到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
如圖http://imgur.com/4NvwlRZ.png
4.新增DWORD key SMB1,值設定為0
在空白處按右鍵>新增>DWORD(32位元)值 名稱鍵入SMB1 不管你是x86還是x64都是
http://imgur.com/y5z0Upk.png
之後在新增的項目中按右鍵 修改
http://imgur.com/jDXmhQn.png
修改資料為0
http://imgur.com/zbUqfVc.png
修改完成後請重新開機
●方法二:適用Windows 8.1
1.開啟控制台>程式集>開啟或關閉Windows功能
2.把SMB 1.0/CIFS 檔案共用支援勾勾取消掉
3.重新開機
===Step 2.更新Windows
註:x86=32位元 x64=64位元 在微軟官方通常x64會特別註明64位元 x86不會特別寫32位元
2-A.可利用系統內建之Windows Update程式更新
2-B.可利用下載的更新套件更新
這是官方的Windows更新載點
http://www.catalog.update.microsoft.com/
之後鍵入您需要的套件號碼即可搜尋到檔案
另外由於使用人數眾多(全球都在更新) 所以網站可能會出現異常或下載緩慢
以下是Win7與Win8.1的分流載點
Windows 7 KB4012215 Windows 8.1 KB4012216
GD1:https://goo.gl/q6f1Tu GD1:https://goo.gl/tbvuWI
GD2:https://goo.gl/eM58dG GD2:https://goo.gl/nZSJ92
GD3:https://goo.gl/FcrqR5 GD3:https://goo.gl/oC3mvR
MG :https://goo.gl/t199Mc
※以上分流來源:Facebook社團 「電腦DIY 組裝 - 維修.疑難雜症 討論區」
https://goo.gl/0O57il
●Windows XP 及 Windows 8
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
進入上述網址後 選擇您的作業系統即可
Windows SP3 x86個人分流
GD: https://goo.gl/dWc23K
本人(paul40807)親傳證明 http://imgur.com/GzZfJxM.png
Windows 8的原檔我搶不到 無法製作分流 先跟各位說聲不好意思
===Step 3.檢查病毒是否已經入侵潛伏或加密中
請直接參考下列內文操作
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
(未中毒)
Step 4A.再度開啟SMB/XP:網路上的芳鄰(可不做)
若會使用到此功能 可再開啟
若不會 也不需要開啟
根據經驗 一般使用者是用不到的
最後
恭喜您未中獎 請繼續保持良好的更新及使用習慣 避免受到其他新勒索軟體的威脅
若您是Windows XP,Vista或Windows 8使用者
真心的建議您更新至Windows 10或其他尚未停止更新的作業系統
Windows 8 的序號可直接使用在Windows 10 1607以後的版本
建議各位版友趁此次機會更新
(已中毒)
Step 4B.後續處理
請立刻關機 拔除資料碟 開安全模式並清除病毒
清除病毒之後建議安裝&更新到最新Avast等可設定開機掃描的防毒軟體 再接回資料碟
並且設定開機掃描 然後立刻重新開機讓防毒軟體檢查是否有殘存病毒在資料碟中
若檢查一切OK 請立刻重灌系統(或升級到Windows10)
Avast開機掃描圖 http://imgur.com/qJxjs2R.jpg
祝福大家珍貴的資料都能夠守護好
常見Q&A
Q1:我是Win7/8/8.1使用者 現在想要更新Win10 還來的及嗎
A:可以 您只需要去有點軟官方下載工具 就可以直接使用Win7/8/8.1的序號安裝Windows10
官方載點:https://www.microsoft.com/zh-tw/software-download/windows10
Q2:我是Windows 10 1507,1511,1607的使用者 有需要升級到1703嗎
A:不用因為這次的事件搶著升級1703 因為沒差 1607 1511 1507都已經在3/14收到更新了
如果沒有從regedit關閉Update Server的話 理論上都已經被愛的更新了
當然 1703 一開始就已經修復這個漏洞 有強迫症的話可能覺得比較安全
Q3:更新一直失敗怎麼辦
A:重新開機再安裝可以試試看 若不能解決請爬文
Q4:我安裝自行去官方下載或是您提供的安裝包 出現「更新不適用」
A:有兩種可能 第一種是系統太舊 Windows太舊導致無法安裝
另外一種是 你已經安裝更(ㄍㄥˋ)新的更新套件 也可能會出現更新不適用的提示
※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
: Russia
: Turkey
: Kazakhstan
: Indonesia
: Vietnam
: Japan
: Spain
: Germany
: Ukraine
: Philippines
: 等國家
: 目前影響最嚴重的國家台灣排名第二
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.142.105.177
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html
推
05/13 00:46, , 1F
05/13 00:46, 1F
推
05/13 00:47, , 2F
05/13 00:47, 2F
推
05/13 00:48, , 3F
05/13 00:48, 3F
→
05/13 00:49, , 4F
05/13 00:49, 4F
→
05/13 00:50, , 5F
05/13 00:50, 5F
→
05/13 00:50, , 6F
05/13 00:50, 6F
推
05/13 00:52, , 7F
05/13 00:52, 7F
→
05/13 00:52, , 8F
05/13 00:52, 8F
推
05/13 00:54, , 9F
05/13 00:54, 9F
推
05/13 00:54, , 10F
05/13 00:54, 10F
→
05/13 00:54, , 11F
05/13 00:54, 11F
推
05/13 00:56, , 12F
05/13 00:56, 12F
推
05/13 00:56, , 13F
05/13 00:56, 13F
推
05/13 00:58, , 14F
05/13 00:58, 14F
我個人研判是010 006是IE相關 這次跟用IE比較無關
010是SMB伺服器 也比較符合 反正兩者都整合在3月更新就對了
推
05/13 00:59, , 15F
05/13 00:59, 15F
推
05/13 01:00, , 16F
05/13 01:00, 16F
→
05/13 01:02, , 17F
05/13 01:02, 17F
推
05/13 01:03, , 18F
05/13 01:03, 18F
→
05/13 01:03, , 19F
05/13 01:03, 19F
→
05/13 01:03, , 20F
05/13 01:03, 20F
Win10通通被微軟愛的更新了 很少會有問題 連1507都有接受到滿滿的愛
推
05/13 01:04, , 21F
05/13 01:04, 21F
→
05/13 01:05, , 22F
05/13 01:05, 22F
推
05/13 01:06, , 23F
05/13 01:06, 23F
→
05/13 01:06, , 24F
05/13 01:06, 24F
推
05/13 01:06, , 25F
05/13 01:06, 25F
→
05/13 01:06, , 26F
05/13 01:06, 26F
推
05/13 01:06, , 27F
05/13 01:06, 27F
→
05/13 01:07, , 28F
05/13 01:07, 28F
→
05/13 01:07, , 29F
05/13 01:07, 29F
→
05/13 01:08, , 30F
05/13 01:08, 30F
→
05/13 01:08, , 31F
05/13 01:08, 31F
→
05/13 01:08, , 32F
05/13 01:08, 32F
推
05/13 01:09, , 33F
05/13 01:09, 33F
全世界都在更新
→
05/13 01:09, , 34F
05/13 01:09, 34F
推
05/13 01:09, , 35F
05/13 01:09, 35F
推
05/13 01:11, , 36F
05/13 01:11, 36F
還有 376 則推文
還有 76 段內文
推
05/14 11:30, , 413F
05/14 11:30, 413F
→
05/14 12:08, , 414F
05/14 12:08, 414F
推
05/14 13:53, , 415F
05/14 13:53, 415F
推
05/14 14:12, , 416F
05/14 14:12, 416F
推
05/14 15:19, , 417F
05/14 15:19, 417F
推
05/14 15:22, , 418F
05/14 15:22, 418F
推
05/14 17:40, , 419F
05/14 17:40, 419F
→
05/14 17:40, , 420F
05/14 17:40, 420F
→
05/14 17:41, , 421F
05/14 17:41, 421F
→
05/14 17:43, , 422F
05/14 17:43, 422F
→
05/14 17:43, , 423F
05/14 17:43, 423F
→
05/14 17:44, , 424F
05/14 17:44, 424F
推
05/14 17:45, , 425F
05/14 17:45, 425F
推
05/14 19:07, , 426F
05/14 19:07, 426F
→
05/14 19:47, , 427F
05/14 19:47, 427F
推
05/14 23:24, , 428F
05/14 23:24, 428F
推
05/14 23:30, , 429F
05/14 23:30, 429F
推
05/15 00:04, , 430F
05/15 00:04, 430F
→
05/15 00:25, , 431F
05/15 00:25, 431F
推
05/15 00:49, , 432F
05/15 00:49, 432F
推
05/15 01:12, , 433F
05/15 01:12, 433F
→
05/15 01:13, , 434F
05/15 01:13, 434F
推
05/15 03:47, , 435F
05/15 03:47, 435F
推
05/15 09:22, , 436F
05/15 09:22, 436F
推
05/15 09:58, , 437F
05/15 09:58, 437F
→
05/15 09:58, , 438F
05/15 09:58, 438F
→
05/15 09:59, , 439F
05/15 09:59, 439F
推
05/15 11:57, , 440F
05/15 11:57, 440F
推
05/15 18:04, , 441F
05/15 18:04, 441F
推
05/15 19:15, , 442F
05/15 19:15, 442F
→
05/15 19:15, , 443F
05/15 19:15, 443F
→
05/15 19:15, , 444F
05/15 19:15, 444F
→
05/15 21:19, , 445F
05/15 21:19, 445F
→
05/15 21:19, , 446F
05/15 21:19, 446F
推
05/15 21:19, , 447F
05/15 21:19, 447F
→
05/15 21:23, , 448F
05/15 21:23, 448F
推
05/16 01:01, , 449F
05/16 01:01, 449F
推
05/16 02:36, , 450F
05/16 02:36, 450F
→
05/16 02:36, , 451F
05/16 02:36, 451F
推
05/17 16:45, , 452F
05/17 16:45, 452F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章