WanaCrypt0r 2.0 勒索病毒正在大規模攻擊系統漏洞，請務必更新MS17-010修補程式

作業系統發展到現在，從擔心資料的損毀到網路安全的威脅，讓重度使用電腦的人都一直無法擺脫焦慮的恐懼，目前勒索軟體軟體猖獗， WanaCrypt0r 2.0 勒索病毒，利用MS17-010漏洞攻擊，這個漏洞主要是可以讓攻擊者遠端執行程式碼，天啊！簡直是開後門讓駭客可以長驅而入，微軟其實在3月時早已釋出了修補 MS17-010更新，有更新躲過一劫，沒有更新不要鐵齒，請立即更新。

目前市面上的勒索軟體 WanaCrypt0r 2.0相當強悍，利用Microsoft Windows SMB漏洞，造成可以讓遠端執行程式碼，影響的系統從Windows XP、Vista、7、8、8.1、10，伺服器版本有Server 2008、2008 R2、2012、2012 R2，WannyCry 病毒的特徵會將檔案加密為 .WNCRY 檔案格式，當檔案加密後會彈出紅色視窗要求支付贖金，假如三天內沒有付贖金會加倍，七天內沒付款則會刪除解密金鑰，屆時檔案將無法恢復救回（其實可以使用誤刪檔案的程式救回，但不保證可以完全救回）。WannaCry 病毒散佈極可怕，可以利用目前攻擊情形的即時地圖來參考，Windows XP 與 Vista微軟早已不更新，為了這個 WanaCrypt0r 2.0 勒索病毒重新釋出漏洞修正檔，你說嚴重不嚴重呢？

Microsoft 資訊安全公告 MS17-010可解決 Microsoft Windows SMB中的弱點，如果攻擊者傳送蓄意製作的訊息到 Windows SMBv1 伺服器，最嚴重的弱點可能會允許遠端執行程式碼，WanaCrypt0r 2.0 就這樣悄悄地執行，所以想要升級安全漏洞，必要的步驟少不了。

Step 1. 切斷網路

沒有網路，在強悍的WanaCrypt0r 2.0勒索軟體也是英雄無用武之地，所以區域網路上的PC，請務必先關閉網路。

Step 2. 關閉SMB1服務

由於要更新官方的更新檔，沒有網路無法更新，假如你已經有下載相關MS17-010的系統更新檔，且使用USB隨身碟方式安裝，可以略過次步驟，想要使用網路下載更新檔，就要先關閉SMBv1的服務，問題不同系統版本的關閉方式有差異。

windows 8/10快速的方式就是使用Windows PowerShel方式，利用功能表鈕旁的搜尋來找到Windows PowerShell桌面應用程式，切記使用滑鼠右鍵以系統管理員身分來執行。

下圖中步驟一輸入「set-ExecutionPolicy Unrestricted」按下〔Enter〕再輸入「Y」，步驟二輸入「set-SmbServerConfiguration -EnableSMB1Protocol $false」按下〔Enter〕再輸入「Y」即可完成關閉windows 8/10的SMBv1服務，至於步驟三輸入「get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol」按下〔Enter〕，主要是察看SMB1服務是否已關閉，確定SMB1下方出現False表示關閉後，請重新開機。

若是Windows 7/Server 2008版本，則必須使用登錄編輯程式來加入一些註冊碼，先開按下〔Win〕+〔R〕並輸入「regedit」並下〔確定〕。

在「登錄編輯程式」視窗上尋找「HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters」，找到後在右邊空白處按下滑鼠右鍵，新增一個DWORD(32-位元)的值。

值的名稱為「SMB1」，且將數值資料指定為「0」。

Step 3. 安裝更新檔

在3月時早已釋出了修補 MS17-010更新，有更新躲過一劫，沒有更新不要鐵齒，請立即更新，假如使用USB隨身碟，可以下載更新檔放入USB隨身碟上，這樣就可以不必連上網路，假如要線上下載更新檔，請接上網路，以下我們就將各個作業系統的更新檔案做個整理如下:

Windows 7：Windows 7 32 位元 / Windows 7 64 位元
Windows 8 : Windows 8 32 位元 / Windows 8 64 位元
Windows 8.1：Windows 8.1 32 位元 / Windows 8.1 64 位元
Windows XP： Windows XP SP3 32 位元 / Windows XP SP2 64 位元
Server 2003 : Windows Server 2003 SP2 32 位元 / Windows Server 2003 SP2 64 位元
Widnows 10 : 請更新至最新版
Windows Server 2012 : x64
Windows Server 2008 : x64 , x86
Windows Server 2003 繁體中文 : x64 , x86

以Windows 7為例，筆者事先下載更新檔，並使用USB隨身碟來安裝，

安裝時會再次確認，當然是按下〔是〕。

此時你會看到安裝更新的進度畫面。

當你看到下圖完成的畫面，按下〔立即重新啟動〕即可修復Microsoft Windows SMB1漏洞。

Step 4. 檢查自己有沒有中獎

由 PTT 網友分享一支打包的偵測程式，可檢測SMB1的服務是否關閉，也可順便偵測是否已安裝Microsoft Windows SMB漏洞更新檔。

下圖是執行後如果出現No presence of DOUBLEPULSAR SMB implant，那你大可方放心，若感染會出現「DOUBLEPULSAR SMB IMPLANT DETECTED!!!」訊息，除偵測感染之外，也會偵測MS17-010漏洞更新檔是否安裝，出現「Your system has already indtalled MS17-010」表示已補上Microsoft Windows SMB漏洞。