主页> > 时尚生活 >WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏 >

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏


2020-05-22

作业系统发展到现在,从担心资料的损毁到网路安全的威胁,让重度使用电脑的人都一直无法摆脱焦虑的恐惧,目前勒索软体软体猖獗,  WanaCrypt0r 2.0 勒索病毒,利用MS17-010漏洞攻击,这个漏洞主要是可以让攻击者远端执行程式码,天啊!简直是开后门让骇客可以长驱而入,微软其实在3月时早已释出了修补 MS17-010更新,有更新躲过一劫,没有更新不要铁齿,请立即更新。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

目前市面上的勒索软体 WanaCrypt0r 2.0相当强悍,利用Microsoft Windows SMB漏洞,造成可以让远端执行程式码,影响的系统从Windows XP、Vista、7、8、8.1、10,伺服器版本有Server 2008、2008 R2、2012、2012 R2,WannyCry 病毒的特徵会将档案加密为 .WNCRY 档案格式,当档案加密后会弹出红色视窗要求支付赎金,假如三天内没有付赎金会加倍,七天内没付款则会删除解密金钥,届时档案将无法恢复救回(其实可以使用误删档案的程式救回,但不保证可以完全救回)。WannaCry 病毒散布极可怕,可以利用目前攻击情形的即时地图来参考,Windows XP 与 Vista微软早已不更新,为了这个 WanaCrypt0r 2.0 勒索病毒重新释出漏洞修正档,你说严重不严重呢?

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

Microsoft 资讯安全公告 MS17-010可解决 Microsoft Windows SMB中的弱点,如果攻击者传送蓄意製作的讯息到 Windows SMBv1 伺服器,最严重的弱点可能会允许远端执行程式码,WanaCrypt0r 2.0 就这样悄悄地执行,所以想要升级安全漏洞,必要的步骤少不了。

Step 1. 切断网路

没有网路,在强悍的WanaCrypt0r 2.0勒索软体也是英雄无用武之地,所以区域网路上的PC,请务必先关闭网路。

Step 2. 关闭SMB1服务

由于要更新官方的更新档,没有网路无法更新,假如你已经有下载相关MS17-010的系统更新档,且使用USB随身碟方式安装,可以略过次步骤,想要使用网路下载更新档,就要先关闭SMBv1的服务,问题不同系统版本的关闭方式有差异。

windows 8/10快速的方式就是使用Windows PowerShel方式,利用功能表钮旁的搜寻来找到Windows PowerShell桌面应用程式,切记使用滑鼠右键以系统管理员身分来执行。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

下图中步骤一输入「set-ExecutionPolicy Unrestricted」按下〔Enter〕再输入「Y」, 步骤二输入「set-SmbServerConfiguration -EnableSMB1Protocol $false」按下〔Enter〕再输入「Y」即可完成关闭windows 8/10的SMBv1服务,至于步骤三输入「get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol」按下〔Enter〕,主要是察看SMB1服务是否已关闭,确定SMB1下方出现False表示关闭后,请重新开机。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

若是Windows 7/Server 2008版本,则必须使用登录编辑程式来加入一些注册码,先开按下〔Win〕+〔R〕并输入「regedit」并下〔确定〕。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

在「登录编辑程式」视窗上寻找「HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters」,找到后在右边空白处按下滑鼠右键,新增一个DWORD(32-位元)的值。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

值的名称为「SMB1」,且将数值资料指定为「0」。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

Step 3. 安装更新档

在3月时早已释出了修补 MS17-010更新,有更新躲过一劫,没有更新不要铁齿,请立即更新,假如使用USB随身碟,可以下载更新档放入USB随身碟上,这样就可以不必连上网路,假如要线上下载更新档,请接上网路,以下我们就将各个作业系统的更新档案做个整理如下:

Windows 7:Windows 7 32 位元  /  Windows 7 64 位元Windows 8 :  Windows 8 32 位元  /  Windows 8 64 位元Windows 8.1:Windows 8.1 32 位元  /  Windows 8.1 64 位元Windows XP: Windows XP SP3 32 位元 / Windows XP SP2 64 位元Server 2003 : Windows Server 2003 SP2 32 位元  /  Windows Server 2003 SP2 64 位元Widnows 10 : 请更新至最新版Windows Server 2012 : x64Windows Server 2008 : x64 , x86Windows Server 2003 繁体中文 : x64 , x86

以Windows 7为例,笔者事先下载更新档,并使用USB随身碟来安装,

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

安装时会再次确认,当然是按下〔是〕。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

此时你会看到安装更新的进度画面。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

当你看到下图完成的画面,按下〔立即重新启动〕即可修复Microsoft Windows SMB1漏洞。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

Step 4. 检查自己有没有中奖

由 PTT 网友分享一支打包的侦测程式,可检测SMB1的服务是否关闭,也可顺便侦测是否已安装Microsoft Windows SMB漏洞更新档。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

下图是执行后如果出现No presence of DOUBLEPULSAR SMB implant,那你大可方放心,若感染会出现「DOUBLEPULSAR SMB IMPLANT DETECTED!!!」讯息,除侦测感染之外,也会侦测MS17-010漏洞更新档是否安装,出现「Your system has already indtalled MS17-010」表示已补上Microsoft Windows SMB漏洞。

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏

如果出现下图未感染SMB漏洞,且红色框内的文字出现「Your system has not indtalled MS17-010 yet」,不要铁齿赶快依照步骤3来更新吧!

WanaCrypt0r 2.0 勒索病毒正在大规模攻击系统漏


上一篇:

下一篇: