Một ransomware đang lan truyền qua các internet trên tất cả các máy mà vẫn có SMBv1 kích hoạt bằng cách sử dụng một NSA khai thác cũ bị rò rỉ bởi “ShadowBrokers”. Đây là cách để tự bảo vệ bạn khỏi ransomware WanaCrypt0r 2.0 và vô hiệu hóa nó trên máy tính Windows
WanaCrypt0r 2.0 là gì?
Ransomware này đang lan rộng thông qua một khai thác được NSA tích cực sử dụng để thâm nhập vào các máy Windows chỉ cần phải trực tuyến (có nghĩa là một kết nối internet đơn giản là đủ để khai thác thành công) để khai thác. Các khai thác được gọi là EternalBlue cho phép kẻ tấn công truy cập vào máy tính của bạn với các đặc quyền gốc đầy đủ thông qua các giao thức SMB1 không an toàn, một giao thức để chia sẻ truy cập vào các tập tin, máy in và các thiết bị khác.
SMBv2 và SMBv3 dường như không bị ảnh hưởng.
SMB là viết tắt của Server Message Block – một Subversion được gọi là Common Internet File System nên đã cho bạn một gợi ý những gì nó đang được sử dụng cho. Về bản chất, giao thức được sử dụng để chia sẻ truy cập vào các tệp, máy in và cổng nối tiếp để truyền thông trên mạng cục bộ của bạn đang được khai thác để sử dụng từ bên ngoài [bên ngoài mạng của bạn]
Làm thế nào để Hủy bỏ WanaCrypt0r?
Không có cách nào dễ dàng để loại bỏ nó vào thời điểm này.
Update bản vá mới nhất từ Microsoft (bản vá mã hiệu MS17-010) là cách ngăn ngừa bị dính ransomware này.
Một cách khác nữa là disable SMBv1
Làm thế nào để kiểm tra cho dù SMB1 được Bật trên máy tính của tôi?
Vì chúng tôi sử dụng một chương trình đã được cài đặt trên máy tính của bạn: Powershell
1. Mở Open Powershell, chỉ cần nhấn phím Windows + R và nhập PowerShell.exe:
2. Bước Sao chép và dán lệnh sau vào dòng lệnh dưới đây:
Get-SmbServerConfiguration | Chọn EnableSMB1Protocol, EnableSMB2Protocol
3. Bước Nếu nó nói EnableSMB1Protocol là sai rồi nó đã bị vô hiệu hóa. Nhưng nếu nó nói đúng, thì bạn cần vô hiệu nó.
4. Bước Để tắt bản sao SMB1 và dán lệnh này: Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” SMB1 -Type DWORD -Value 0 -Force
Ngoài ra, bạn có thể vào trình chỉnh sửa registry và chèn các phím bằng tay (xem bên dưới)
Vô hiệu hoá SMB1 qua Powershell
1. Mở Open Powershell, chỉ cần nhấn phím Windows + R và nhập PowerShell.exe:
Bước 2. Sao chép và dán
Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” SMB1 -Type DWORD -Value 0 -Force
3. Khởi động lại Bước
Vô hiệu hoá SMB1 qua registry
1. Nhấn phím Windows + R trên bàn phím và nhập regedit.exe:
2. Bước Trong HKEY_Local_Machine vào SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters và tạo một khoá DWORD mới SMB1 với giá trị là 0
Theo tài liệu của Microsoft, bạn cũng nên xác minh điều này:
Bước vào HKEY_Local_Machine vào HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation và xác minh rằng DependOnService được đặt thành Bowser “,” MRxSmb20 “,” NSI
4. Bước Trong HKEY_Local_Machine vào System \ CurrentControlSet \ services \ mrxsmb1 và đặt giá trị của Start to 4
5. Khởi động lại máy tính của bạn để điều này có hiệu lực