WanaCrypt0r 2.0 勒索病毒正在大規模攻擊系統漏洞,請務必更新MS17-010修補程式

作業系統發展到現在,從擔心資料的損毀到網路安全的威脅,讓重度使用電腦的人都一直無法擺脫焦慮的恐懼,目前勒索軟體軟體猖獗,  WanaCrypt0r 2.0 勒索病毒,利用MS17-010漏洞攻擊,這個漏洞主要是可以讓攻擊者遠端執行程式碼,天啊!簡直是開後門讓駭客可以長驅而入,微軟其實在3月時早已釋出了修補 MS17-010更新,有更新躲過一劫,沒有更新不要鐵齒,請立即更新。

Bloggerads載入中~

 

目前市面上的勒索軟體 WanaCrypt0r 2.0相當強悍,利用Microsoft Windows SMB漏洞,造成可以讓遠端執行程式碼,影響的系統從Windows XP、Vista、7、8、8.1、10,伺服器版本有Server 2008、2008 R2、2012、2012 R2,WannyCry 病毒的特徵會將檔案加密為 .WNCRY 檔案格式,當檔案加密後會彈出紅色視窗要求支付贖金,假如三天內沒有付贖金會加倍,七天內沒付款則會刪除解密金鑰,屆時檔案將無法恢復救回(其實可以使用誤刪檔案的程式救回,但不保證可以完全救回)。WannaCry 病毒散佈極可怕,可以利用目前攻擊情形的即時地圖來參考,Windows XP 與 Vista微軟早已不更新,為了這個 WanaCrypt0r 2.0 勒索病毒重新釋出漏洞修正檔,你說嚴重不嚴重呢?

 

Microsoft 資訊安全公告 MS17-010可解決 Microsoft Windows SMB中的弱點,如果攻擊者傳送蓄意製作的訊息到 Windows SMBv1 伺服器,最嚴重的弱點可能會允許遠端執行程式碼,WanaCrypt0r 2.0 就這樣悄悄地執行,所以想要升級安全漏洞,必要的步驟少不了。

Step 1. 切斷網路

沒有網路,在強悍的WanaCrypt0r 2.0勒索軟體也是英雄無用武之地,所以區域網路上的PC,請務必先關閉網路。

 

Step 2. 關閉SMB1服務

由於要更新官方的更新檔,沒有網路無法更新,假如你已經有下載相關MS17-010的系統更新檔,且使用USB隨身碟方式安裝,可以略過次步驟,想要使用網路下載更新檔,就要先關閉SMBv1的服務,問題不同系統版本的關閉方式有差異。

windows 8/10快速的方式就是使用Windows PowerShel方式,利用功能表鈕旁的搜尋來找到Windows PowerShell桌面應用程式,切記使用滑鼠右鍵以系統管理員身分來執行。

 

下圖中步驟一輸入「set-ExecutionPolicy Unrestricted」按下〔Enter〕再輸入「Y」, 步驟二輸入「set-SmbServerConfiguration -EnableSMB1Protocol $false」按下〔Enter〕再輸入「Y」即可完成關閉windows 8/10的SMBv1服務,至於步驟三輸入「get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol」按下〔Enter〕,主要是察看SMB1服務是否已關閉,確定SMB1下方出現False表示關閉後,請重新開機。

 

若是Windows 7/Server 2008版本,則必須使用登錄編輯程式來加入一些註冊碼,先開按下〔Win〕+〔R〕並輸入「regedit」並下〔確定〕。

 

在「登錄編輯程式」視窗上尋找「HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters」,找到後在右邊空白處按下滑鼠右鍵,新增一個DWORD(32-位元)的值。

 

值的名稱為「SMB1」,且將數值資料指定為「0」。

 

Step 3. 安裝更新檔

在3月時早已釋出了修補 MS17-010更新,有更新躲過一劫,沒有更新不要鐵齒,請立即更新,假如使用USB隨身碟,可以下載更新檔放入USB隨身碟上,這樣就可以不必連上網路,假如要線上下載更新檔,請接上網路,以下我們就將各個作業系統的更新檔案做個整理如下:

 

以Windows 7為例,筆者事先下載更新檔,並使用USB隨身碟來安裝,

 

安裝時會再次確認,當然是按下〔是〕。

 

此時你會看到安裝更新的進度畫面。

 

當你看到下圖完成的畫面,按下〔立即重新啟動〕即可修復Microsoft Windows SMB1漏洞。

Step 4. 檢查自己有沒有中獎

PTT 網友分享一支打包的偵測程式,可檢測SMB1的服務是否關閉,也可順便偵測是否已安裝Microsoft Windows SMB漏洞更新檔。

 

下圖是執行後如果出現No presence of DOUBLEPULSAR SMB implant,那你大可方放心,若感染會出現「DOUBLEPULSAR SMB IMPLANT DETECTED!!!」訊息,除偵測感染之外,也會偵測MS17-010漏洞更新檔是否安裝,出現「Your system has already indtalled MS17-010」表示已補上Microsoft Windows SMB漏洞。

 

如果出現下圖未感染SMB漏洞,且紅色框內的文字出現「Your system has not indtalled MS17-010 yet」,不要鐵齒趕快依照步驟3來更新吧!

itwalker

網路改變了眾人的生活模式,雖然離開電腦一陣子,對電腦的熱愛從未間斷過,或許技術與功力已遠遠不及時下年輕人,但試著去畫一個圓,圓不圓沒關係,盡力就好,如果覺得文章不錯的話,請大家按個「讚」或「+1」,感謝您的支持與鼓勵!歡迎加入我的粉絲團 : https://www.facebook.com/itwalker ,更多關於挨踢路人甲的文章: https://walker-a.com

發表迴響