ランサムウェアで話題のMS17-010 の防ぎ方
副題:ランサムウェアで話題のMS17-010 と魔改造版 Windows 2000 その3
Windows 2000におけるMS17-010 対策について、現状でわかってること
Symantec Endpoint Protection 11.0.7
IPSの定義が古いので攻撃自体はブロックできない(12.1 だとブロックできるが Windows 2000非対応)
12.1 の定義は互換性がないので導入できなかった。(入れるとクラッシュした)
ただし、ウィルス定義を最新にすれば WannaCry はブロックできる
魔改造ではない Windows 2000の場合、そもそも暗号化ファイルの作成ウィルスが転送に失敗して、感染しないという説もある
防御方法
1. コントロールパネルの、Server Service を無効にすると防御できる(SMB 無効になるのでファイル共有できなくなる)
コマンドプロンプトで net stop srv
再起動後も無効にする場合は sc config srv start= disabled
2.IPC$ 無効でも攻撃を無効化できるかもしれない(要検証)
Tech TIPS:Windowsのデフォルト共有を停止させる(管理共有を無効化する) - @IT
3. 魔改造版DVDでインストールした Windows 2000だとなぜか実証コードはブロックできる(要検証)
4. 外部ネットワークのポート445 をブロックする
(内部で感染したらアウト)
パッチの作成状況
・2000版の修正
差分をすべて適用したのに なぜか防御できない
・XP版を無理やり2000に移植
なぜかシステムエラー 2で起動しない
防御方法の1についてご質問がございます。
「コントロールパネルの、Server Service を無効にすると防御できる」とありますが、
[スタートメニュー]→[プログラム]→[管理ツール]→[サービス]と進み、
その中の「Server」という名前のサービスを停止するという方法ではダメなのでしょうか?
この「Server」サービスの説明文には、
「このコンピュータでネットワークをとおしてのファイル、印刷、および名前付パイプ共有をサポートします。」
と書かれていますのでこれが当該箇所かとは思うのですが。
ちなみに当方の環境はWinXPではございますが、
MS17-010パッチにつきましては適用済みです。
防御方法の1についてご質問がございます。
「コントロールパネルの、Server Service を無効にすると防御できる」とありますが、
[スタートメニュー]→[プログラム]→[管理ツール]→[サービス]と進み、
その中の「Server」という名前のサービスを停止するという方法ではダメなのでしょうか?
この「Server」サービスの説明文には、
「このコンピュータでネットワークをとおしてのファイル、印刷、および名前付パイプ共有をサポートします。」
と書かれていますのでこれが当該箇所かとは思うのですが。
ちなみに当方の環境はWinXPではございますが、
MS17-010パッチにつきましては適用済みです。
生成される本来のファイル名は、”@”が先頭と末尾につくのですが、魔改造でない2000のエクスプローラからのリネーム・フォルダ生成の際に、”@”が先頭に定義できないのが原因ではないかと。
(警告すらなく元の名前に戻される)
ちなみに、VB5では同フォルダ名は問題なく生成でき、エクスプローラで”@test”から”@testA”に名前を変更しようとすると、”explorer.exe” がクラッシュします。
※このコメントは非表示のままのほうがいいかもしれません。バグ情報を含みますので。
生成される本来のファイル名は、”@”が先頭と末尾につくのですが、魔改造でない2000のエクスプローラからのリネーム・フォルダ生成の際に、”@”が先頭に定義できないのが原因ではないかと。
(警告すらなく元の名前に戻される)
ちなみに、VB5では同フォルダ名は問題なく生成でき、エクスプローラで”@test”から”@testA”に名前を変更しようとすると、”explorer.exe” がクラッシュします。
※このコメントは非表示のままのほうがいいかもしれません。バグ情報を含みますので。
≫ ※このコメントは非表示のままのほうがいいかもしれません。バグ情報を含みますので。
私の判断で公開しても問題と判断しました・ω・
@の先頭につくファイルはSHELL32.DLLの拡張機能になります。
≫その中の「Server」という名前のサービスを停止するという方法ではダメなのでしょうか?
えーと。それのはなしです
≫ ※このコメントは非表示のままのほうがいいかもしれません。バグ情報を含みますので。
私の判断で公開しても問題と判断しました・ω・
@の先頭につくファイルはSHELL32.DLLの拡張機能になります。
≫その中の「Server」という名前のサービスを停止するという方法ではダメなのでしょうか?
えーと。それのはなしです
XP&Vista使いです。
パッチ適用してます。
さらにレジストリでSMBv1を無効。
Serverも停止、SEP入れてあるのでTCP445,135,137,138,139を送受信ブロックしてます。
XP&Vista使いです。
パッチ適用してます。
さらにレジストリでSMBv1を無効。
Serverも停止、SEP入れてあるのでTCP445,135,137,138,139を送受信ブロックしてます。
>コマンドプロンプトで net stop srv
魔改造2kですが、これを実行すると
「サーバー サービスが開始されていません」
と表示されます。多分遠い昔に手動でOFFしたのかも知れませんが、開始されていないのならとりあえず安心でしょうか?
もちろん、怪しいメールは開かない、怪しいサイトには行かないなどの自衛は大前提でしょうけど。
>コマンドプロンプトで net stop srv
魔改造2kですが、これを実行すると
「サーバー サービスが開始されていません」
と表示されます。多分遠い昔に手動でOFFしたのかも知れませんが、開始されていないのならとりあえず安心でしょうか?
もちろん、怪しいメールは開かない、怪しいサイトには行かないなどの自衛は大前提でしょうけど。
XPでSMBv1を無効にする場合もVistaや7と同様に、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\の場所に、
名前「SMB1」、種類「REG_DWORD」、値「0」を書き込めば良いのでしょうか?
レジストリでSMBv1を無効にする方法は、
Vistaや7については書かれているのに何故かXPについては書かれていないので。
XPでSMBv1を無効にする場合もVistaや7と同様に、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\の場所に、
名前「SMB1」、種類「REG_DWORD」、値「0」を書き込めば良いのでしょうか?
レジストリでSMBv1を無効にする方法は、
Vistaや7については書かれているのに何故かXPについては書かれていないので。
XPにはSMBv1しかないので、SMBv1がつかえない=SMB無効にするです
XPにはSMBv1しかないので、SMBv1がつかえない=SMB無効にするです