關於最近興起的NSA武器庫病毒“永恆之藍”的修復方案
關於最近興起的NSA武器庫病毒“永恆之藍”,不得不說,的確很強大,近日國內很多高校的電腦都被感染,這讓天空博客的站長我著實的羡慕啊,如果開發者們開發的不是病毒的話,
攻擊者利用Windows系統預設開放的445埠在高校校園網內進行傳播,攻擊者不需要使用者進行任何操作即可進行感染。
感染後設備上的所有檔都將會被加密,攻擊者聲稱使用者需要支付300~600美元的比特幣才可以解鎖。
對方並不想和你說話,並默默的幫你打開了445埠
漏洞名稱:
Microsoft Windows SMB遠端任意代碼執行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 嚴重 遠端命令執行
CVE-2017-0144 嚴重 遠端命令執行
CVE-2017-0145 嚴重 遠端命令執行
CVE-2017-0146 嚴重 遠端命令執行
CVE-2017-0147 重要 資訊洩露
CVE-2017-0148 嚴重 遠端命令執行
漏洞描述
SMBv1 server是其中的一個伺服器協定元件。
Microsoft Windows中的SMBv1伺服器存在遠端代碼執行漏洞。
遠端攻擊者可借助特製的資料包利用該漏洞執行任意代碼。
以下版本受到影響:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。
下面提供三種清除方法:
2、關閉445、137、138、139埠,關閉網路共用服務
3、應急腳本(不到萬不得已不推薦使用)
rem 關閉智慧卡服務
net stop SCardSvr
net stop SCPolicySvc
sc config SCardSvr start=disabled
sc config SCPolicySvc start=disabled
rem 開啟服務
net start MpsSvc
rem 開機啟動
sc config MpsSvc start=auto
rem 啟用防火牆
netsh advfirewall set allprofiles state on
rem 遮罩埠
netsh advfirewall firewall add rule name=”deny udp 137 ” dir=in protocol=udp localport=137 action=block
netsh advfirewall firewall add rule name=”deny tcp 137″ dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name=”deny udp 138″ dir=in protocol=udp localport=138 action=block
netsh advfirewall firewall add rule name=”deny tcp 138″ dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name=”deny udp 139″ dir=in protocol=udp localport=139 action=block
netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name=”deny udp 445″ dir=in protocol=udp localport=445 action=block
netsh advfirewall firewall add rule name=”deny tcp 445″ dir=in protocol=tcp localport=445 action=block
pause
最後,祝各位的機子度過安詳快樂的晚年。
天空博客-網路達人聚集地 skymz.cc
2017-5-14