V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
starvedcat
V2EX  ›  问与答

关于最新的这个硬盘加密病毒

  •  
  •   starvedcat · 2017-05-13 09:20:36 +08:00 · 5554 次点击
    这是一个创建于 2776 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我是 Windows 10,自动更新一直开着,刚才手动检查了一下,系统表示已经更新到了最新版本。那么是不是意味着我就不太可能中招(指这个病毒)了?

    但是我看微软的这个页面: https://technet.microsoft.com/zh-cn/library/security/MS17-010 ,里面的“变通方法”说是要“禁用 SMBv1 ”, 我虽然也照做了,但是我还是想知道:这个“变通方法”的意思,是不是“如果我不安装本文提到的那个更新程序,我可以使用这个变通方法来解决这个问题”(即:如果我安装了更新,那我就不需要这个“变通方法”)?
    37 条回复    2017-05-14 00:48:09 +08:00
    starvedcat
        1
    starvedcat  
    OP
       2017-05-13 09:21:25 +08:00
    刚才看了一下 445 端口还开着,赶紧给关了。。。
    RobertYang
        2
    RobertYang  
       2017-05-13 09:23:45 +08:00 via Android
    身边中招的都是 win7
    ray1980
        3
    ray1980  
       2017-05-13 09:26:29 +08:00
    @RobertYang 4 月份新装的系统,开了自动更新,还会中招吗?
    Trim21
        4
    Trim21  
       2017-05-13 09:28:12 +08:00 via iPhone
    昨天还有人问 xp 有补丁吗。。
    irainsoft
        5
    irainsoft  
       2017-05-13 09:28:26 +08:00
    我记得当初微软放出补丁包后云服务厂商都发公告的,然后我一堆服务器就在那几天全部自动打补丁重启了,还记得室友告诉我服务器半夜闪红灯重启两三次....
    Trim21
        6
    Trim21  
       2017-05-13 09:29:00 +08:00 via iPhone   ❤️ 1
    @ray1980 这次漏洞的补丁是 3 月发的 开了自动更新应该没问题
    UnisandK
        7
    UnisandK  
       2017-05-13 09:35:32 +08:00   ❤️ 1
    lcdtyph
        8
    lcdtyph  
       2017-05-13 09:40:38 +08:00 via iPhone   ❤️ 1
    @starvedcat 你打了补丁的话,开着 445 也不会中招的。起码不是这一招。
    ixinshang
        9
    ixinshang  
       2017-05-13 09:53:13 +08:00 via Android
    补丁号多少呢
    starvedcat
        10
    starvedcat  
    OP
       2017-05-13 10:04:35 +08:00
    @ixinshang 我也不知道啊,是不是上面链接里写的那串数字
    Wolfsin
        11
    Wolfsin  
       2017-05-13 10:05:05 +08:00
    xp 有厂商做了免疫工具,但是 win10 那么好用,为什么不升级?
    kingcos
        12
    kingcos  
       2017-05-13 10:05:51 +08:00
    Eternal Blue:Remote Exploit via SMB & NBT
    Windows XP - Windows 2012
    ouqihang
        13
    ouqihang  
       2017-05-13 10:30:58 +08:00
    家用宽带据说不用怕,运营商帮屏蔽了端口,中招的是教育网,因为教育网没屏蔽 445 端口,手动滑稽。
    vtea
        14
    vtea  
       2017-05-13 10:34:20 +08:00 via Android
    @ouqihang 家庭电信是不是把 80,445 端口关了
    kmahyyg
        15
    kmahyyg  
       2017-05-13 11:06:18 +08:00 via Android
    nashxk
        16
    nashxk  
       2017-05-13 11:11:55 +08:00
    大学同学的实验室十几台电脑全部中招。。
    Jimrussell
        17
    Jimrussell  
       2017-05-13 11:25:57 +08:00 via Android
    @nashxk 666,win7+不开自动补丁的锅?
    nashxk
        18
    nashxk  
       2017-05-13 11:32:46 +08:00
    @Jimrussell #17 具体不清楚。实验数据啥的是都没有了。
    hx1997
        19
    hx1997  
       2017-05-13 12:23:05 +08:00 via Android
    变通方法 = workaround 的翻译 = 临时解决方案
    deeporist
        20
    deeporist  
       2017-05-13 12:37:07 +08:00
    哪怕端口开放但是没有服务运行在这个端口上就行了 个人用的电脑不用或者不常用的服务全关了 要用的时候临时开一下用完立马关 想这些高校电脑因为基本全连局域网 需要访问内网文件 所以统统在 Port 445 (TCP)上运行 smb 服务 这次这漏洞(远程代码执行)一暴露 别人只要扫到对外开放入站 445 并且 445 上运行 smb 的 构造一个带特殊参数的命令送过去就搞定了(下载病毒然后运行病毒) 但是一般而言按道理高校的局域网的内部文件是不对外开放的啊.....那要么就是防火墙规则漏洞 要么就是病毒是从内部进去的了.....
    zhihaofans
        21
    zhihaofans  
       2017-05-13 12:42:11 +08:00 via iPhone
    突然很好奇影子系统能不能预防
    awthink
        22
    awthink  
       2017-05-13 12:54:23 +08:00
    @zhihaofans #21 全盘进影子系统有可能还行。不过按我一般的使用方式都是只 C 盘开,那么猜想可能会是这样:其他盘被加密了,然后 C 盘还原把病毒删了,然后请参考隔壁帖服务器中招的那个截图里的说明。。。
    forgetandnew
        23
    forgetandnew  
       2017-05-13 13:22:25 +08:00 via iPhone
    开启系统自动更新是一个良好的习惯
    vtoexshan
        24
    vtoexshan  
       2017-05-13 15:54:36 +08:00
    lenovo
        25
    lenovo  
       2017-05-13 16:00:39 +08:00
    @UnisandK #7
    @Trim21 #4
    这个方法不使用简体中文版 XP 了,2016 年 2 月后的补丁只有英文的
    参考 https://github.com/CNMan/MicrosoftHotfixesList/tree/master/windows_embedded_posready_2009
    lada04
        26
    lada04  
       2017-05-13 16:09:18 +08:00
    这比当年的熊猫烧香还恶心,熊猫烧香也是全盘文件感染,但起码不能清除,这是直接加密了……妈个鸡
    Autonomous
        27
    Autonomous  
       2017-05-13 16:11:15 +08:00
    @starvedcat 如何才能测试 445 端口的启闭状态?
    xifangczy
        28
    xifangczy  
       2017-05-13 16:30:40 +08:00
    @Autonomous
    cmd
    netstat -a
    lcdtyph
        29
    lcdtyph  
       2017-05-13 16:37:23 +08:00
    @vtoexshan #24 你现在 win10 版本号是 1703 的话就不用管

    @Autonomous #27 cmd 里执行 netstat -anp tcp 看有没有 0.0.0.0:445 这行
    Autonomous
        30
    Autonomous  
       2017-05-13 16:55:32 +08:00
    @xifangczy
    @lcdtyph
    谢谢告知!
    不过我已经在 IP 安全策略中添加了一条阻止 TCP:445 的条目,为什么运行了 netstat -anp tcp 还能看到 445 端口呢?
    twy2004
        31
    twy2004  
       2017-05-13 16:57:12 +08:00
    @Autonomous 在防火墙拦截了 445 端口就行,监听是程序的事情。除非你把程序关了,否则它会永远监听下去,即使入站通信都被防火墙拦截了。
    ouqihang
        32
    ouqihang  
       2017-05-13 17:56:01 +08:00 via Android
    知乎有人说卡巴有解密方法 。
    Trim21
        33
    Trim21  
       2017-05-13 17:59:20 +08:00
    @deeporist 我们学校有些校区甚至宿舍的机子都暴露在公网上...
    RobertYang
        34
    RobertYang  
       2017-05-13 18:22:44 +08:00 via Android
    @ray1980 没有停止更新的系统开了自动更新就不用怕了
    songpengf117
        35
    songpengf117  
       2017-05-13 18:29:53 +08:00 via iPhone   ❤️ 1
    snsd
        36
    snsd  
       2017-05-13 19:09:30 +08:00 via iPhone
    @ouqihang 那固定 ip 的线路怎么样?
    sobigfish
        37
    sobigfish  
       2017-05-14 00:48:09 +08:00
    https://support.microsoft.com/zh-cn/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

    话说 把 Server 服务(LanmanServer) 关了 影响 wifi 连的打印机么(看起来像 linux 的协议的而非 windows 的网络共享打印机)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3044 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:01 · PVG 22:01 · LAX 06:01 · JFK 09:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.