مایکروسافت در به روزرسانی های امنیتی خود، آسیب پذیری هایی را که ابزارهای EternalBlue و EternalRomance از آن در حمله ی Petwrap بهره برداری می کنند، وصله کرده است. مایکروسافت هر دوی این آسیب پذیری ها را در تاریخ ۱۴ مارس در به روزرسانی های شناسه ی MS17-010 وصله کرده است.
انتشار این به روزرسانی ها تقریباً به ۳ ماه قبل برمی گردد. بهعبارت دیگر سیستمهایی که در حملهی باجافزاری جدید آلوده شدهاند، بهروزرسانیهای امنیتی مایکروسافت برای این آسیبپذیریها را اعمال نکردهاند. مایکروسافت به مشتریان خود اکیداً توصیه کرده که اگر سیستمهای خود را بهروز نکردهاند، هرچه سریعتر این کار را انجام دهند.
با این حال، برخی از سازمانها ممکن است نتوانند بهروزرسانیهای امنیتی مایکروسافت را انجام دهند. برای این منظور به آنها راهکارهای دیگری را پیشنهاد میکنیم.
۱) بهطور کامل سرویس SMBv1 را در ویندوز غیرفعال کنید.
برای اینکه از وضعیت فعلی سرویس SMB بر روی سیستم خود مطلع شوید، میتوانید در سیستم عامل ویندوز، دستور زیر را اجرا کنید:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
برای غیرفعال کردن SMBv1 در ویندوز ۸ و ویندوز سرور ۲۰۱۲ دستور زیر را میتوانید اجرا کنید:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
برای غیرفعال کردن SMBv1 در ویندوز ۷، ویندوز ویستا و ویندوز سرور ۲۰۰۸ نیز میتوانید دستور زیر را اجرا کنید:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
۲) بر روی سیستمهای دیوارهی آتش و مسیریابهای خود قانونی را ایجاد کنید تا ترافیک ورودی مربوط به SMB را از روی پورت ۴۴۵ مسدود کنند.
۳) یک روش سادهی دیگر نیز وجود دارد. پوشهی دایرکتوری ویندوز (C:\Windows) را باز کنید. در این مسیر یک فایل بدون پسوند با نام perfc ایجاد کنید و مجوزهای مربوط به آن را «فقط خواندنی» تعیین کنید. این روش به این دلیل مؤثر است که باجافزار پس از اینکه سامانهای را اسکن کرد، به دنبال این فایل میگردد. اگر آن را پیدا کرد، فرض میکند که سیستم قبلاً آلوده شده و دیگر آن را آلوده نمیکند.