關於最近興起的NSA武器庫病毒“永恆之藍”的修復方案

關於最近興起的NSA武器庫病毒“永恆之藍”，不得不說，的確很強大，近日國內很多高校的電腦都被感染，這讓天空博客的站長我著實的羡慕啊，如果開發者們開發的不是病毒的話，

攻擊者利用Windows系統預設開放的445埠在高校校園網內進行傳播，攻擊者不需要使用者進行任何操作即可進行感染。

感染後設備上的所有檔都將會被加密，攻擊者聲稱使用者需要支付300~600美元的比特幣才可以解鎖。

對方並不想和你說話，並默默的幫你打開了445埠

漏洞名稱：

Microsoft Windows SMB遠端任意代碼執行漏洞 (MS17-010)

包含如下CVE：

CVE-2017-0143 嚴重 遠端命令執行

CVE-2017-0144 嚴重 遠端命令執行

CVE-2017-0145 嚴重 遠端命令執行

CVE-2017-0146 嚴重 遠端命令執行

CVE-2017-0147 重要 資訊洩露

CVE-2017-0148 嚴重 遠端命令執行

漏洞描述

SMBv1 server是其中的一個伺服器協定元件。

Microsoft Windows中的SMBv1伺服器存在遠端代碼執行漏洞。

遠端攻擊者可借助特製的資料包利用該漏洞執行任意代碼。

以下版本受到影響：Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT 8.1，Windows 10 Gold，1511和1607，Windows Server 2016。

下面提供三種清除方法：

2、關閉445、137、138、139埠，關閉網路共用服務

3、應急腳本（不到萬不得已不推薦使用）

rem 關閉智慧卡服務

net stop SCardSvr

net stop SCPolicySvc

sc config SCardSvr start=disabled

sc config SCPolicySvc start=disabled

rem 開啟服務

net start MpsSvc

rem 開機啟動

sc config MpsSvc start=auto

rem 啟用防火牆

netsh advfirewall set allprofiles state on

rem 遮罩埠

netsh advfirewall firewall add rule name=”deny udp 137 ” dir=in protocol=udp localport=137 action=block

netsh advfirewall firewall add rule name=”deny tcp 137″ dir=in protocol=tcp localport=137 action=block

netsh advfirewall firewall add rule name=”deny udp 138″ dir=in protocol=udp localport=138 action=block

netsh advfirewall firewall add rule name=”deny tcp 138″ dir=in protocol=tcp localport=138 action=block

netsh advfirewall firewall add rule name=”deny udp 139″ dir=in protocol=udp localport=139 action=block

netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block

netsh advfirewall firewall add rule name=”deny udp 445″ dir=in protocol=udp localport=445 action=block

netsh advfirewall firewall add rule name=”deny tcp 445″ dir=in protocol=tcp localport=445 action=block

pause

最後，祝各位的機子度過安詳快樂的晚年。

天空博客-網路達人聚集地 skymz.cc

2017-5-14