看板 AntiVirus
作者
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 00:43:34 2017
作者
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 00:43:34 2017
===========================以下不重要 可skip========================
不是很確定的資訊
提供給大家做參考
剛剛爬了一下文章
疑似是利用MS17-010漏洞攻擊
本次漏洞已經在3月更新 中毒的狀況也與是否有安裝3月安全性更新大致相符
因此盲狙推斷是本漏洞造成問題
以下是本人小小整理的漏洞資訊
攻擊手法:攻擊 Microsoft Windows SMB漏洞
漏洞編號:MS17-010(CVE-2017-0143~CVE-2017-0148)
漏洞造成的問題:可遠端執行程式碼
已改善:是(整合在2017/3月安全性更新 17/3/14發佈)
受影響系統:
Windows Vista,7,8,8.1,10(1507,1511,1607),
Server 2008, 2008 R2, 2012, 2012 R2,
Windows RT
關於MS17-010: https://goo.gl/Ivx5Xr
===========================以上不重要 可skip=============================
請Windows 7 與8.1的使用者 檢查自己電腦是否有以下更新
3月安全性更新號碼
Windows 7 : KB4012215
Windows 8.1:KB4012216
4月安全性更新號碼
Windows 7 : KB4015549
Windows 8.1:KB4015550
5月安全性更新號碼
Windows 7: KB4019264
Windows 8.1:KB4019215
已安裝上述更新(因為新的更新會包含之前月份的 只要三個有其中一個安裝成功即可)
代表有很大機會可防範此次攻擊
控制台>Windows Update>檢視更新紀錄 可查詢電腦是否有安裝成功
尚未安裝 請先斷網並按照下面方式關閉SMB再連網更新
且更新完成後 利用其他版友發文提供的腳本進行檢查(下面有附上傳送門 有幫助也麻煩
去幫忙推一下幫高調)
Windows 8沒有更新 請節哀
有時間請用Win8序號直接灌Win10以絕後患 序號通用的可直接Key in
Windows10所有版本理論上已經都安裝完成 除非您手動關閉更新
還有 請關閉 SMB 1.0/CIFS 檔案共用支援再行更新
內容方式摘錄自imasa大大的文章
若有關閉SMB的相關問題請到那篇回覆
Windows 7 以上(Win8以上有比較簡單的方法在下面)
1.按 Windows鍵+R
2.輸入regedit
3.找到
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
如圖http://imgur.com/4NvwlRZ.png
![[圖]](http://i.imgur.com/4NvwlRZh.png)
在空白處按右鍵>新增>DWORD(32位元)值 名稱鍵入SMB1 不管你是x86還是x64都是喔
http://imgur.com/y5z0Upk.png
![[圖]](http://i.imgur.com/y5z0Upk.png)
http://imgur.com/jDXmhQn.png
![[圖]](http://i.imgur.com/jDXmhQn.png)
http://imgur.com/zbUqfVc.png
![[圖]](http://i.imgur.com/zbUqfVc.png)
就修改完成了
記得重新開機喔
Windows 8 以上
開啟控制台>程式集>開啟或關閉Windows功能
把SMB 1.0/CIFS 檔案共用支援勾勾取消掉就好
另外 版上有提供Windows XP的解決辦法 有需要的人可以去看
https://www.ptt.cc/bbs/AntiVirus/M.1494612265.A.EFE.html
Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 - 看板 AntiVirus - 批踢踢實業坊
XP其實也有更新檔可補MS17-010 如果之前有修改登錄檔來繼續接收 Windows Embedded POSReady 2009 的更新 3月應該就會收到 KB4012598
XP其實也有更新檔可補MS17-010 如果之前有修改登錄檔來繼續接收 Windows Embedded POSReady 2009 的更新 3月應該就會收到 KB4012598
https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
後續有大大PO出這篇 內容有腳本提供偵測是否有中毒
建議各位使用者在更新的同時使用本腳本偵測是否病毒已潛伏在電腦中
希望大家珍貴的資料都能夠守護好
※ 引述《leon19790602 (())》之銘言:
: 來源:https://twitter.com/malwrhunterteam
: MalwareHunterTeam表示
: WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
: 不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
: Taiwan
: Russia
: Turkey
: Kazakhstan
: Indonesia
: Vietnam
: Japan
: Spain
: Germany
: Ukraine
: Philippines
: 等國家
: 目前影響最嚴重的國家台灣排名第二
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.142.105.177
※ 文章代碼(AID): #1P5UOwpc (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494607418.A.CE6.html
※ 同主題文章:
[自動轉寄] Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 00:43
05-13 04:32
05-13 07:58
推 : 我電腦一直卡在檢查更新 是因為太久沒更新嗎1F 05/13 00:46
推 : 42F 05/13 00:47
推 : 太久沒更新會卡很久很久 像是沒在動3F 05/13 00:48
→ : 遠端關閉了、系統也更新了 512英國多家醫院也被攻擊4F 05/13 00:49
→ : 卡就讓卡 其實有再跑6F 05/13 00:50
推 : 剛剛第2輪更新下載 3個檔案67.4m下載近1HR才71%
我想說是不是大家都在下載7F 05/13 00:52
我想說是不是大家都在下載7F 05/13 00:52
推 : 我是決定直接等等重灌7就順便升級10了 反正免費9F 05/13 00:54
推 : 大家都再載沒錯.... 這個論壇都再討論了10F 05/13 00:54
→ : 麻煩了 我有兩台筆電是連無線 會不會開機後就中獎?11F 05/13 00:54
推 : 簡單說 還沒中獎的人趕快裝KB4012215這個更新12F 05/13 00:56
推 : 直接抓離線檔更新比較快13F 05/13 00:56
推 : 有人說是MS17-006的樣子14F 05/13 00:58
我個人研判是010 006是IE相關 這次跟用IE比較無關
010是SMB伺服器 也比較符合 反正兩者都整合在3月更新就對了
推 : 最近感覺都衝著win7來的耶15F 05/13 00:59
推 : XP:在戰100年!!16F 05/13 01:00
→ : "再"17F 05/13 01:02
推 : 請問已經是win10的電腦要更新什麼嗎?雖說win10蠻久了,常常自己更新完才要求重開機,但這次鬧那麼大,有win10的災情嗎..?18F 05/13 01:03
Win10通通被微軟愛的更新了 很少會有問題 連1507都有接受到滿滿的愛
推 : 剛更新了 怎麼查看我有沒有更新到KB4012215??
WIN10更新吧 以防萬一21F 05/13 01:04
WIN10更新吧 以防萬一21F 05/13 01:04
推 : 我前幾天看到板上有人提到主動式勒索,就趕緊更新了,前天又再更新一次,只有一個更新失敗,希望沒事23F 05/13 01:06
推 : win10更新KB89083025F 05/13 01:06
→ : WIN10如果你都開自動更新 應該就沒問題了26F 05/13 01:06
DOUBLEPULSAR Scanning Service By Below0Day
Scan a IP to see if it is compromised by DOUBLEPULSAR ...
Scan a IP to see if it is compromised by DOUBLEPULSAR ...
→ : 這網站會幫你掃描這IP有沒有這次的漏洞28F 05/13 01:07
→ : win7開自動更新呢?29F 05/13 01:07
→ : win8哪裡可下載離線更新檔? 我知道win7要去哪找30F 05/13 01:08
→ : 我是win7手動更新,好多年沒更新了,現在剩一個前幾天上的更新檔更新失敗31F 05/13 01:08
推 : 剛真的更新很慢33F 05/13 01:09
全世界都在更新→ : 我把話收回 你就算自動更新 也請再去檢查是否有更新檔34F 05/13 01:09
推 : 我的Win8.1好久沒更新了 (抖35F 05/13 01:09
推 : win 7有更新到四月底,目前沒異狀><36F 05/13 01:11
→ : 我現在很煩惱 家裡的人可能不知道狀況37F 05/13 01:11
推 : 我現在才發現我的WIN8.1最後更新在兩年前 藥丸38F 05/13 01:11
推 : 為什麼掃IP就可以知道有沒有漏洞啊? 不是掃電腦系統版本更新版本之類的39F 05/13 01:15
這我也不知道 大概是檢測你SMB弱點有沒有被修復吧推 : 我剛更新完 怎沒看到KB4012215 ???41F 05/13 01:16
http://imgur.com/BkkoRza.jpg 我的有喔
![[圖]](http://i.imgur.com/BkkoRza.png)
![[圖]](http://i.imgur.com/qksl2de.jpg)
推 : 看他底下說明就是真的用漏洞去踹門 只是他不會在門被踹開後亂搞你電腦 大概是這樣 他有把腳本公開43F 05/13 01:17
推 : GJ大 你那個網站 要跑出什麼才會說沒有漏豆
漏洞45F 05/13 01:19
漏洞45F 05/13 01:19
→ : 某島論壇有人貼圖 防毒檔下遠端攻擊
這波攻擊全球應該掛了數億台吧....47F 05/13 01:19
這波攻擊全球應該掛了數億台吧....47F 05/13 01:19
推 : 好像太多人用了 網站癱瘓中 反正就會有一行字跟你說沒事啊49F 05/13 01:21
→ : 連英國醫院系統都中獎了 巴哈有貼消息
我3月沒更新 我直接更新5月的50F 05/13 01:21
我3月沒更新 我直接更新5月的50F 05/13 01:21
推 : 可以借問一下嗎 中了是不是就只剩重灌一途啊??52F 05/13 01:25
推 : 5月初有更新,3月時沒更新 需要再回頭更新KB4012215嗎?53F 05/13 01:25
4月的更新有包含3月的
推 : 全更完了 沒有KB4012215 = =54F 05/13 01:26
![[圖]](http://i.imgur.com/CbKY4e0.png)
推 : WIN8.1的也要裝KB4012215嗎? 他好像是寫適用於WIN7耶56F 05/13 01:27
→ : 到控制台windows update 檢視更新紀錄 找有沒有57F 05/13 01:27
→ : 同L疑問 求幫58F 05/13 01:28
→ : kb401221559F 05/13 01:28
推 : 掃出完顯示no doublepulsar implant detected就是沒事對嗎?60F 05/13 01:28
推 : 我的是KB4012216 有差嗎62F 05/13 01:28
推 : 剛看了一下 確實是010才對63F 05/13 01:29
推 : 要怎麼樣才能查看到2215 沒看到他無法安心....65F 05/13 01:30
Win8.1是KB4012216
推 : 有些月份會包含這更新 還有win7跟8後面號碼應該不一樣66F 05/13 01:31
推 : 這波攻擊是利用MS17-010 在被攻擊前趕快打上補丁就沒事69F 05/13 01:33
推 : 我是WIN770F 05/13 01:33
推 : 手動更新也世界慢...我的電腦有問題嗎?71F 05/13 01:33
→ : 攻擊者會掃描IP檢查port445是否開啟 如果開啟會傳送
特製的封包從回應判斷對方的系統是否存在SMB漏洞
目前研究人員發現受入侵的電腦drop勒索軟體之後
竟然還會連上網路掃描其他主機的port44572F 05/13 01:33
特製的封包從回應判斷對方的系統是否存在SMB漏洞
目前研究人員發現受入侵的電腦drop勒索軟體之後
竟然還會連上網路掃描其他主機的port44572F 05/13 01:33
推 : 跟我圖片一樣應該就沒事啦 有空的人可以試試用未更新電腦試76F 05/13 01:33
→ : 也就是受入侵的主機會變成另一台攻擊主機
用P2P的方式繼續傳遞攻擊 所以蔓延的速度才會這麼快77F 05/13 01:33
用P2P的方式繼續傳遞攻擊 所以蔓延的速度才會這麼快77F 05/13 01:33
推 : 我是9264 這是WIN7五月的安全性品質總匯套件的嗎?79F 05/13 01:34
→ : M大 真厲害80F 05/13 01:34
推 : 感謝81F 05/13 01:34
→ : 這網站 另外這漏洞對NAT後面電腦無效 所以要越過分享器來測82F 05/13 01:34
推 : 感謝mayuyu解說83F 05/13 01:35
推 : 如果區網內有電腦share folder 你帳號也有修改權限的話可能也會被加密 這點要注意一下84F 05/13 01:36
推 : M大 請問所以家中共用網路的電腦才會一起中的意思嗎86F 05/13 01:38
推 : 我剛剛更新了 還要回去補3月2215嗎? 我是WIN7 32位87F 05/13 01:38
4月有包含3月的
推 : 我電腦未更新 用網站測的結果是沒問題耶 為什麼?88F 05/13 01:38
你運氣好 可能你的網路結構其中一部份擋掉port了 但是還是快快更新吧
推 : 想不到這麼多人沒在更新 完全不能理解89F 05/13 01:39
推 : 所以,用分享器上網的,被攻擊到電腦的機率,會降低?90F 05/13 01:39
推 : 沒更新應該是之前會偷偷給你升win10害的吧91F 05/13 01:39
推 : 掃PORT就會先卡在分享器沒開PORT這關了 但不代表啥都不必做92F 05/13 01:41
→ : 因為不知道什麼時候開始有電腦一拿來第一件事就把更新關掉這種觀念 所以很多人都沒更新吧93F 05/13 01:41
推 : 當然是從WIN10開始的95F 05/13 01:42
→ : 該更新的就要更新 該備份的備份 防毒加減裝 前幾篇有人是嫌防毒抓到這隻勒索病毒後太吵 就關掉防毒 整個悲劇96F 05/13 01:42
推 : 基本上分享器或硬體防火牆 沒有特別開port或導流量到某台電腦 中獎機率會降低才是98F 05/13 01:44
推 : 請問SMB關掉裝好更新之後,有需要改回來嗎?317F 05/13 14:35
推 : 哦哦 原來是要更新才要新增DWORD 感謝318F 05/13 14:37
推 : 感謝樓主!319F 05/13 15:01
推 : 幹嘛改回來 就像外面有殭屍再那晃 把SMB鐵門關起來320F 05/13 15:06
推 : 感謝整理321F 05/13 15:17
--
- →台灣 05-13 20:29https://www.theguardian.com/technolo...ead-of-ransomware-cyber-attack最新消息,應該暫時不會再有新的電腦中了
(paul40807.): [自動轉寄] Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 - ott板