Zi 字媒體

  圖片來源是網友發訊給我的，這是WanaCrypt0r 2.0 勒索病毒，疑似是利用MS17-010漏洞攻擊   以下是PTT 網友 paul40807整理的漏洞資訊       請Windows 7 與8.1的使用者 檢查自己電腦是否有以下更新 控制台>Windows Update>檢視更新紀錄  Windows10所有版本理論上已經都安裝完成 除非您手動關閉更新 另外 請關閉 SMB 1.0/CIFS 檔案共用支援再行更新 3月安全性更新號碼 Windows 7 : KB4012215 Windows 8.1:KB4012216 4月安全性更新號碼 Windows 7 : KB4015549 Windows 8.1:KB4015550 5月安全性更新號碼 Windows 7: KB4019264 Windows 8.1:KB4019215 新的會直接包含舊的。請找到其中一個即可 來自巴哈姆特的更新訊息 已更新為5月更新檔————————————————————————這一批綁架病毒是針對Windws 作業系統的SMB來攻擊是針對SMB的445 port漏洞來攻擊那詳細攻擊內容不再我們討論範疇簡單說，W7、W8.1還沒中毒的用戶趕快去載更新檔建議分享或轉載給身邊的W7、W8.1用戶..直接分享不用問我了qq Windows 7 x64http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msuWindows 7 x32http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu———————————————Windows 8.1 x64http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msuWindows 8.1 x32http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu 包含XP用戶請都找時間升級成Win 10 怎麼檢查自己有沒有中獎? PTT 大大 imasa (便當俠) 提供腳本檢查   imasa (便當俠)的部落格大家可以去看看一些資安資訊: http://roger6.blogspot.tw/ 這裡有偵測的script下載https://github.com/countercept/doublepulsar-detection-script  imasa (便當俠) 改寫後打包起來的版本 EternalBlueDetector.zip 執行前請確認檔案有無被偷改過 另外請確認檔案路徑沒有中文或英文以外語言，不然會執行錯誤 File SHA1: F39365274CB9E2700BFBCB15C757F509F1115113 File Size: 4,492,849 Bytes 檢查自己機器時，左鍵點兩下程式就可以了。下面是程式執行後的偵測結果 尚未被攻擊或已裝KB:顯示 No presence of DOUBLEPULSAR SMB implant   被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期)   Win10 就不用檢查了     手動預防方法 – 修改登陸檔 Windows 7/2008：開始>執行> 輸入 regedit，找到以下的值修改後，重新開機 HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters 底下新增 DWORD key SMB1, 其值為0     Win8、Win 10： 1. 打開 command提示視窗、執行powershell，按右鍵選擇系統管理員執行  2. 執行 set-ExecutionPolicy Unrestricted，輸入 Y  3. 執行 set-SmbServerConfiguration -EnableSMB1Protocol $false，輸入 Y   5 打完，最後用這個指令來檢查，如下圖就表示成功關閉SMB1服務  get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol   最後記得重新開機    喜歡這篇文章的話，請幫這篇文章點個讚，或者到 雲爸的3C學園按個讚，快速得到最新的文章喔