現在如果你還是不放心,不知道自己的電腦是否已經中了勒索病毒 Wana Decrypt0r 2.0 (WannaCry)嗎?
以下提供一個工具可以快速的幫助您查詢電腦是否安全無虞。(此工具來源PTT ID:imasa)
步驟一:
下載此檢測程式 EternalBlueDetector
步驟二:
將下載完後的壓縮檔解壓縮於純英文的路徑中,不要解壓縮至有包含中文字串的路徑裡
點選detect_doublepulsar_smb.exe開始進行漏洞掃描,程式會自動幫你掃描電腦是否有安裝MS17-010 KB相關的漏洞補丁
漏洞檢測結果:
尚未被攻擊會顯示 No presence of DOUBLEPULSAR SMB implant
已被攻擊成功會顯示 DOUBLEPULSAR SMB IMPLANT DETECTED!!!
(Wana Decrypt0r 2.0 可能已正在進行檔案加密中或是潛伏於電腦背景中)
接下來我們可以手動把會引起此漏洞攻擊的SMBv1服務關閉來使駭客攻擊失敗
Windows 7 或 Windows 2008:
步驟一:
開啟 regedit.exe
步驟二:
切換至以下登錄檔路徑
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
步驟三:
新增 DWORD (32-位元) 值,並將名稱(key)修改為SMB1、數值資料設為0
步驟四:
重新開機使登錄檔生效
Windows 8 以上:
步驟一:
打開 command 命令提示字元視窗
步驟二:
執行 powershell
步驟三:
執行 set-ExecutionPolicy Unrestricted
步驟四:
執行 set-SmbServerConfiguration -EnableSMB1Protocol $false
之後會出現詢問您要不要修改SMB Server Configuration的確認提示、選 Y (預設值,也可以直接按Enter使用預設值Y)
步驟五:
可以執行 get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
來檢查是否有設定成功
步驟六:
重新開機使修改生效
Windows XP:
步驟一:
開始 -> 設定 -> 控制台 -> 網路連線
步驟二:
選擇您現在使用的網路連線 (EX:區域連線),按右鍵選內容
步驟三:
將 File and Printer Sharing for Microsoft Networks 核選框勾選取消,確定
步驟四:
重新開機使設定生效
重新開機後,再跑一次剛剛的 detect_doublepulsar_smb.exe 檢測程式,出現
This machine has already closed SMBv1 protocol.
就代表成功手動將SMBv1服務關閉了
最後在提供一個網站可以掃描您現在所連線上網的IP是否有存在零時 (0Day) 漏洞
網站連結:
掃描結果顯示 NO DOUBLEPULSAR Implant Detected 就代表您目前使用的此IP的電腦沒有此漏洞囉!
作者:月影星痕
轉載請註明本文網址:https://www.chkaja.com/check-computer-wannacry-safe-or-warning/
版權所有 © KJ資訊站 | 本文章採用 BY-NC-SA 進行授權。
發佈留言