【滲透測試】MS17-010 "永恆之藍" 修復方案

多所院校電腦被勒索，吾等當代大學生怎能坐視不管。

--------------------------------------------------------------------------------------------------------------------------------------

一、預防

1、為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞，請盡快安裝此安全補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、及時備份，一定要離線備份重要文件

3、開啟防火牆
4、關閉445、135、137、138、139端口，關閉網絡共享。

　  (1)關閉445端口

　　　　445端口：在局域網中輕松訪問各種共享文件夾或共享打印機

　　WIN+R 運行--regedit

 

　  找到注冊表項“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”

 

　　

　　選擇“Parameters”項，右鍵單擊，選擇“新建”——“DWORD值”。(64位  32位根據自己需求)

 　　

　　將DWORD值重命名為“SMBDeviceEnabled”

　　

　　修改"數值數據"的值為0,點擊確定，完成設置

　　

 　　 (2)關閉135端口

　　　　135端口：Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時，它們查找end-point mapper找到服務的位置。

　　WIN+R 運行--dcomcnfg

　　

　　在彈出的“組件服務”對話框中，選擇“計算機”選項。

 

　

　　右鍵單擊"我的電腦"，選擇"屬性" 

　　在"默認屬性"選項卡中，去掉"在此計算機上啟用分布式COM"前的勾。

　　

 

　　　　選擇"默認協議"選項卡，選中"面向連接的TCP/IP"，單擊"移除"按鈕。

　　

　　(3)關閉137、138、139端口

　　　　　　137、138端口：137、138是UDP端口，當通過網上鄰居傳輸文件時用這個端口。而139端口：通過這個端口進入的連接試圖獲得NetBIOS/SMB服務

　　打開網絡共享中心 -- 更改適配器設置

 

　　右鍵點擊屬性，把框起來的選項前面的勾去掉，然后卸載

 

　　雙擊Internet 協議版本 4 (TCP/IPv4)-- 高級--選擇WIN

 

　　勾選禁用TCP/IP上的NetBIOS(S)

做完以上操作 重啟即可關閉端口

 

錦佰安公司的防范445端口的命令腳本：http://www.secboot.com/445.zip

 

二、修復

如果中招 已經被勒索，建議360網址下載查殺工具：http://dl.360safe.com/nsa/nsatool.exe

到卡巴斯基下載文件解鎖工具：https://noransom.kaspersky.com/

　　1、打開自己的那個勒索軟件界面，點擊copy. （復制黑客的比特幣地址）
　　2、把copy粘貼到btc.com （區塊鏈查詢器）
　　3、在區塊鏈查詢器中找到黑客收款地址的交易記錄，然后隨意選擇一個txid（交易哈希值）
　　4、把txid 復制粘貼給 勒索軟件界面按鈕connect us.
　　5、等黑客看到后 你再點擊勒索軟件上的check payment.
　　6、再點擊decrypt 解密文件即可。
　　解鎖軟件：https://github.com/QuantumLiu/antiBTCHack
　　實際上並不是物理解密文件