伯谅 LCw

防御 WannaCrypt 勒索软件

各位,隔了这么久,我终于回来了。

这次主要是针对紧急的情况,来为大家提供一个较为完整的方法,以防御 WannaCrypt 勒索软件。

WannaCrypt,又称 WannaCry,不久前发现了变种,也就是 2.0 版。

在前勒索软件就已经大行其道,可是 WannaCrypt 却是目前史上最为严重的一个,被发现的第一天,就有 90 多个国家受到了影响,一天之后,受影响的国家数增加到约 150 个。

这个威胁主要是通过 Windows 的某个漏洞来执行的,广传速度非常快,而微软其实在 3 月中旬就已经发布补丁修复这个漏洞。

近期它更是大费周章,让 Windows XP、Windows Server 2003 和 Windows 8.0 这三个已经完全结束支持的操作系统“复活”,可见这个威胁不容小觑。

操作系统 架构 语言 下载链接 补丁大小
Windows XP x86 英文 特制安全补丁 665.23 KB
简体中文 特制安全补丁 667.23 KB
繁体中文 特制安全补丁 667.73 KB
Windows Vista x86 全部语言 安全补丁 1.17 MB
x64 全部语言 安全补丁 1.32 MB
Windows 7 x86 全部语言 累积更新 (2017 年 5 月) 99.25 MB
x64 全部语言 累积更新 (2017 年 5 月) 162.9 MB
Windows 8.0 x86 全部语言 特制安全补丁 872.55 KB
x64 全部语言 特制安全补丁 984.92 KB
Windows 8.1 x86 全部语言 累积更新 (2017 年 5 月) 126.35 MB
x64 全部语言 累积更新 (2017 年 5 月) 227.84 MB
Windows 10 版本 1507 x86 全部语言 累积更新 (2017 年 5 月) 505.59 MB
x64 全部语言 累积更新 (2017 年 5 月) 1.05 GB
Windows 10 版本 1511 x86 全部语言 累积更新 (2017 年 5 月) 571.78 MB
x64 全部语言 累积更新 (2017 年 5 月) 1.05 GB
Windows 10 版本 1607 x86 全部语言 累积更新 (2017 年 5 月) 561.29 MB
Delta 更新 (2017 年 5 月) 230.68 MB
x64 全部语言 累积更新 (2017 年 5 月) 1.05 GB
Delta 更新 (2017 年 5 月) 511.93 MB

P/S: Windows 10 版本 1703 是在 3 月 17 日编译的,而微软在 3 月 14 日就发布了可以阻挡这个漏洞的累积更新,所以自然不受影响,可是为了防范,还是必须进行以下操作。

安装上述对应更新之后,主要是去除了 WannaCrypt 可以使用的漏洞,可这其实远远不够。

未来不排除变种还是可以通过一个漏洞来入侵,所以我们要尽可能将其关闭。这个漏洞,就是已经过时的 SMBv1。

Windows 8.x/10

  1. 用管理员权限打开 PowerShell。

  2. 输入以下命令,接着回车并确认操作:

     Set-SmbServerConfiguration -EnableSMB1Protocol $false
    
  3. 为确保 SMBv1 服务器端已经禁用,运行以下命令:

     Get-SmbServerConfiguration | Select EnableSMB1Protocol
    
  4. 若你看到 EnableSMB1ProtocolFalse,表示上述操作成功,继续接下来的步骤。

  5. 运行这两个命令:

     sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
     sc.exe config mrxsmb10 start= disabled
    
  6. 如果你是 Windows 8.0 用户,到这里重启 Windows,结束;否则继续操作。

  7. 运行以下命令:

     Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    
  8. 提示重启 Windows 时,确认操作,重启后,SMBv1 就完全禁用。

Windows Vista/7

  1. 打开注册表编辑器,然后打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 目录。

  2. 增加名为 SMB1 的 DWORD 值,并赋值为 0。

  3. 关闭注册表编辑器,接着用管理员权限打开命令提示符。

  4. 运行这两个命令:

     sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
     sc.exe config mrxsmb10 start= disabled
    
  5. 重启 Windows。


所以基本防范完成了,与此同时,请务必更新和升级杀毒软件及防火墙,以有效防御这个恶意软件。

为了保证你在安全的最前线,也建议你升级到最新的 Windows 10

往后技术文章会陆续有来,敬请期待。

参考




🌙