防御 WannaCrypt 勒索软件
各位,隔了这么久,我终于回来了。
这次主要是针对紧急的情况,来为大家提供一个较为完整的方法,以防御 WannaCrypt 勒索软件。
WannaCrypt,又称 WannaCry,不久前发现了变种,也就是 2.0 版。
在前勒索软件就已经大行其道,可是 WannaCrypt 却是目前史上最为严重的一个,被发现的第一天,就有 90 多个国家受到了影响,一天之后,受影响的国家数增加到约 150 个。
这个威胁主要是通过 Windows 的某个漏洞来执行的,广传速度非常快,而微软其实在 3 月中旬就已经发布补丁修复这个漏洞。
近期它更是大费周章,让 Windows XP、Windows Server 2003 和 Windows 8.0 这三个已经完全结束支持的操作系统“复活”,可见这个威胁不容小觑。
| 操作系统 | 架构 | 语言 | 下载链接 | 补丁大小 |
|---|---|---|---|---|
| Windows XP | x86 | 英文 | 特制安全补丁 | 665.23 KB |
| 简体中文 | 特制安全补丁 | 667.23 KB | ||
| 繁体中文 | 特制安全补丁 | 667.73 KB | ||
| Windows Vista | x86 | 全部语言 | 安全补丁 | 1.17 MB |
| x64 | 全部语言 | 安全补丁 | 1.32 MB | |
| Windows 7 | x86 | 全部语言 | 累积更新 (2017 年 5 月) | 99.25 MB |
| x64 | 全部语言 | 累积更新 (2017 年 5 月) | 162.9 MB | |
| Windows 8.0 | x86 | 全部语言 | 特制安全补丁 | 872.55 KB |
| x64 | 全部语言 | 特制安全补丁 | 984.92 KB | |
| Windows 8.1 | x86 | 全部语言 | 累积更新 (2017 年 5 月) | 126.35 MB |
| x64 | 全部语言 | 累积更新 (2017 年 5 月) | 227.84 MB | |
| Windows 10 版本 1507 | x86 | 全部语言 | 累积更新 (2017 年 5 月) | 505.59 MB |
| x64 | 全部语言 | 累积更新 (2017 年 5 月) | 1.05 GB | |
| Windows 10 版本 1511 | x86 | 全部语言 | 累积更新 (2017 年 5 月) | 571.78 MB |
| x64 | 全部语言 | 累积更新 (2017 年 5 月) | 1.05 GB | |
| Windows 10 版本 1607 | x86 | 全部语言 | 累积更新 (2017 年 5 月) | 561.29 MB |
| Delta 更新 (2017 年 5 月) | 230.68 MB | |||
| x64 | 全部语言 | 累积更新 (2017 年 5 月) | 1.05 GB | |
| Delta 更新 (2017 年 5 月) | 511.93 MB |
P/S: Windows 10 版本 1703 是在 3 月 17 日编译的,而微软在 3 月 14 日就发布了可以阻挡这个漏洞的累积更新,所以自然不受影响,可是为了防范,还是必须进行以下操作。
安装上述对应更新之后,主要是去除了 WannaCrypt 可以使用的漏洞,可这其实远远不够。
未来不排除变种还是可以通过一个漏洞来入侵,所以我们要尽可能将其关闭。这个漏洞,就是已经过时的 SMBv1。
Windows 8.x/10
-
用管理员权限打开 PowerShell。
-
输入以下命令,接着回车并确认操作:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -
为确保 SMBv1 服务器端已经禁用,运行以下命令:
Get-SmbServerConfiguration | Select EnableSMB1Protocol -
若你看到
EnableSMB1Protocol为False,表示上述操作成功,继续接下来的步骤。 -
运行这两个命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled -
如果你是 Windows 8.0 用户,到这里重启 Windows,结束;否则继续操作。
-
运行以下命令:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol -
提示重启 Windows 时,确认操作,重启后,SMBv1 就完全禁用。
Windows Vista/7
-
打开注册表编辑器,然后打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 目录。
-
增加名为 SMB1 的 DWORD 值,并赋值为 0。
-
关闭注册表编辑器,接着用管理员权限打开命令提示符。
-
运行这两个命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled -
重启 Windows。
所以基本防范完成了,与此同时,请务必更新和升级杀毒软件及防火墙,以有效防御这个恶意软件。
为了保证你在安全的最前线,也建议你升级到最新的 Windows 10。
往后技术文章会陆续有来,敬请期待。
参考
- Customer Guidance for WannaCrypt attacks
- How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server