看了很多網站寫的很多
什麼使用REGEDIT註冊機碼新增dword,什麼要下載KBXXXX更新檔案,更新然後又等很久。
恩~我看很多人都頭昏了~~整理一下筆記好了

注意:此方法只能預防不能治療 如果你的檔案已經開始被加密那就不用繼續看下去了

                             WanaCrypt0r 2.0 WIN7 修補 方式全整理

18452439_10206880733775488_1424261176_o-e1494673024282.jpg

WanaCrypt0r 2.0 這款勒索病毒是透過 Windows 系統內  SMB 遠端執行程式碼漏洞進行攻擊,漏洞編號為 MS17-010(CVE-2017-0143~CVE-2017-0148),這個漏洞主要是可以讓攻擊者遠端執行程式碼。
而微軟其實也早在今年 3 月時釋出了修補 MS17-010(CVE-2017-0143~CVE-2017-0148)的工具,許多人都沒有按時更新系統,微軟目前有針對 Windows 7、Windows 8.1 等系統推出安全性更新檔案,稍早之前,微軟也釋出了 Windows 8、Windows XP 等作業系統的安全性更新檔案。太多檔案目前只放 WIN 7 32 64 位元更新檔。最多人用的就是WIN7沒辦法。

主要步驟有三個

第一 : 更新 WINDOWS UPDATA
 

Windows 7-KB4019264

32位元作業系統
官網:http://ppt.cc/wukEW
64位元作業系統
官網:http://ppt.cc/eWb5Q

   如果你下載後發現無法安裝、又確定你沒有下載錯版本的話,請到控制台=>程式集=>程式和功能=>已安裝的更新,檢查看看是否已經有安裝好:
Windows 7 系統是檢查「KB4012215」、「KB4015549」、「KB4019264」,這三個有一個就行

2017-05-15_152447.PNG

第二 : 關閉SMBv1服務、檢測是否中毒

使用註冊機碼程式或是指令或是註冊機碼檔案,解除安裝,來停用 SMBV1 通訊協定

恩~~很複雜~所以我機碼後好再匯出REG檔案,再透過command line 轉換用成 DOS 指令,後續只要執行就好指令就好 XD

參照 : WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法

恩~~看了頭都痛~~一台一台做我還是匯出註冊機碼點二下完工。

 1. WINDOWS 8 2012R2 以上解除SMBv1服務 

18451515_10154443876971232_825454465439487430_o.jpg

2.匯出機碼檔案或是自建住測機碼檔案

 
                   Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"SMB1"=dword:00000000

3.透過CMD轉成command line存成BAT檔案

18447310_10154443876921232_1292278338161531821_n.jpg

轉成 command line AD 登入就可以直接套用省去很多麻煩

 @echo off
echo 關閉WanaCrypt0r 2.0感染途徑SMB1成功!!

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters\ /v SMB1 /t REG_dword /d 00000000 /f

pause

使用AD套用批次開機會會自動帶入

2017-05-15_154526.PNG

4. WINDOWS 8 及 SERVER 2012 R2 以上用  Windows PowerShell

開啟PowerShell並輸入

 
  Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

(需要管理者權限。)

以下為 2012 R2 及 2016 解除安裝畫面

2017-05-15_150057.PNG

2017-05-15_150111.PNG

2017-05-15_133100.PNG

2017-05-15_133147.PNG

以上的動作只要有做關閉就可以,更新後需重開機套用才會生效。
注意 停用 SMB1 可能會導致部分設備無法使用..

開機完後使用檢測工具測試出現紅色框框內的文字表示成功

SMB1更新確定.JPG

工具請參考: WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法


第三: 防火牆封鎖 139 及 445 
封鎖完後你就別想用網芳了,很多系統會用到SMB的445port關閉都會沒辦法用。(自己三思)
怎麼關在防火牆的進階功能可以設定,想看圖文說明,可以參閱電腦王阿達的文章關閉 445 連接埠的部分
目前大概就這些步驟要做~~

 


文章參考來源 :

Microsoft®Update來源

Microsoft 資訊安全公告 MS17-010 - 重大
Microsoft Windows SMB 伺服器的安全性更新 (4013389)

Security Essentials 下載
Microsoft®Update Catalog_KB4019264

3月安全更新編號
Windows 7:KB4012215
Windows 8.1:KB4012216
4月安全更新編號
Windows 7:KB4015549
Windows 8.1:KB4015550
5月安全更新編號
Windows 7:KB4019264
Windows 8.1:KB4019215

如何啟用與停用 SMBv1、 SMBv2 和 Windows 及 Windows Server 中的 SMBv3

WanaCrypt0r 2.0 修補 方式 Windows XP、7、8、10 全系統整理 全球災情慘重不要鐵齒

[教學] 檢查與防止 WanaCrypt0r 2.0最新變種勒索病毒肆虐

WannaCry 勒索病毒出現「變種完整體」,緊急剎停已被關上!

勒索病毒WanaCrypt0r 2.0 大規模攻擊漏洞系統!Windows XP、7、8、8.1、10該如何解決?資料又該如何備份?

[勒索病毒] WINDWS 7 SMB 勒索病毒中毒攻擊防範

WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法

[情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

Win7 修正包| WanMP Online System

 

四: 這邊是重點因為我很懶所以將上面的內容主要的做成一鍵安裝包~~
1.更新WIN 7 X86 X64 KB4019264 5月安全性更新      
2.停用 SMBV1通訊協定
3.刪除暫存檔

PS 怕有木馬的人請使用上面官網下載~~老話一句~網路上的東西不要隨便下載 XD     

中華電信雲端網路硬碟下載


arrow
arrow

    sungshu 發表在 痞客邦 留言(0) 人氣()