Mặc dù bạn có thể cấu hình phần cứng hoặc bật Firewall (tường lửa) để “tàng hình” các cổng này (hoặc chặn tất cả lưu lượng truy cập qua các cổng này), nhưng cách này không an toàn so với việc “đóng cửa” hoàn toàn các cổng . Firewall (tường lửa) có thể bị bypass, đặc biệt là trong các cuộc tấn công nhắm mục tiêu . Một lý do khác để đóng các cổng này (đặc biệt là cổng 445) là để đóng đường hầm Sandboxie tiềm năng.
Nếu nói rằng chỉ cần một Router NAT và (hoặc) Windows Firewall "tàng hình", tất cả các cổng này chống lại inbound connection (các kết nối mặc định để khóa). Tuy nhiên, tại sao các cổng này lại có khả năng mở khi bạn không sử dụng. Ngoài ra, việc bypass Sandboxie cũng liên quan đến outbound connection, vì vậy giải pháp tốt nhất đóng các cổng này lại.
Với việc tấn công vào giao thức SMB thông qua các port mà SMB sử dụng do vậy công việc cần thực hiện là đóng các cổng 445, 135, 137 và 139 nó an toàn hơn và tránh xung đột hoặc các sự cố khác xảy ra so với việc sử dụng ứng dụng, phần mềm của bên thứ 3, tìm hiểu thêm về Giao thức SMB
Các bước dưới đây áp dụng cho Windows XP, nhưng bạn cũng có thể áp dụng trên Windows 2000, Vista và Windows 7. Ngoài ra trước khi thực hiện các bước, tiến hành sao lưu Registry Editor để tránh trường hợp xấu xảy ra, chẳng hạn như một thiết lập nào đó sai hoặc không hoạt động, …. Mặc dù một số hệ thống không sử dụng các cổng này, nhưng trên hệ thống của bạn hoặc một số hệ thống khác có thể sử dụng.
Cách chặn virus Wanna Cry trên Windows XP, đóng các cổng 445, 135, 137, 139
Trước khi thực hiện quá trình đóng, bạn cần xác nhận lại các cổng này được mở trên hệ thống. Để làm được điều này bạn nhập lệnh dưới đây vào cửa sổ Command Prompt:
netstat-an
Đóng cổng 445
Để vô hiệu hóa cổng 445, thực hiện theo các bước dưới đây:
Bước 1: Đầu tiên mở cửa sổ Registry Editor .
Bước 2: Trên cửa sổ Registry Editor bạn điều hướng theo key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Bước 3: Ở khung bên phải tạo một value (giá trị) DWORD (REG_DWORD ).
Bước 4: Đặt tên cho value DWORD (REG_DWORD) là SMBDeviceEnabled.
Bước 5: Kích đúp chuột vào SMBDeviceEnabled , và thiết lập giá trị trong khung Value data là 0 .
Cuối cùng khởi động lại máy tính của bạn để áp dụng thay đổi.
Để kiểm tra xem các cổng đã bị đóng (vô hiệu hóa) hay chưa, mở Comamnd Prompt sau đó nhập lệnh dưới đây vào:
netstat -an
Đóng (vô hiệu hóa) cổng 135 (đóng DCOM)
Thực hiện theo các bước dưới đây để đóng cổng 135 (đóng DCOM):
Lưu ý: trước khi thực hiện quá trình đóng tiến hành sao lưu Registry Editor để tránh trường hợp xấu xảy ra.
Bước 1: Mở cửa sổ Registry Editor bằng cách chọn Start =>Run . Nhập regedit vào cửa sổ Run rồi nhấn Enter
Bước 2: Trên cửa sổ Registry Editor, điều hướng theo key:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ OLE
Ở cột bên phải, tìm value có tên EnableDCOM và thay đổi giá trị của EnableDCOM thành N
Bước 3: Tiếp tục điều hướng theo key dưới đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RPC
Tìm, kích chuột phải và chỉnh sửa giá trị DCOM Protocols dưới khung Value Data. Lúc này bạn sẽ nhìn thấy các giá trị như hình dưới đây (hoặc các giá trị tương tự).
Các giá trị này để giữ trạng thái cổng 135 luôn mở. Chọn tất cả các giá trị được liệt kê trong khung Value data và xóa các giá trị đó đi.
Khi các dữ liệu DCOM Protocols trống, cổng 135 sẽ đóng lại.
Bước 4: Bước tiếp theo là đóng các service liên quan đến DCOM. Mở Control Panel =>Administrative Tools =>Services .
Đóng các service dưới đây:
- COM+ Event System
- COM+ System Application
- System Event Notification
Bước 5: Khởi động lại máy tính của bạn để áp dụng các thay đổi. Để chắc chắn lại một lần nữa, sau khi máy tính của bạn khởi động xong mở cửa sổ Command Prompt.
Nhập lệnh dưới đây vào cửa sổ và bạn sẽ không còn nhìn thấy cổng 135 nữa, đơn giản vì nó đã bị đóng.
netstat -an
Đóng các cổng 137, 138 và 139
Bước 1: Kích chuột phải vào My Network Places chọn Properties
Bước 2: Trên màn hình sẽ hiển thị cửa sổ có chứa tất cả các kết nối mạng có sẵn trên máy tính của bạn. Kích chuột phải vào Local Area Connection và chọn Properties
Bước 3: Cuộn xuống tìm và chọn Internet Protocol (TCP/IP) , sau đó click chọn Properties . Lúc này trên màn hình sẽ hiển thị một cửa sổ khác, giống cửa sổ dưới đây:
Bước 4: Trên cửa sổ Internet Protocol (TCP/IP) Properties, click chọn Advanced . Tiếp theo truy cập tab WINS .
Bước 5: Dưới mục NetBIOS setting, đánh tích chọn Disable NetBIOS over TCP/IP , click chọn OK để áp dụng thay đổi.
Cuối cùng click chọn OK để đóng các cửa sổ khác lại.
Các cổng 137, 138 và 139 trên máy tính của bạn sẽ bị đóng. Nếu máy tính của bạn sử dụng nhiều card mạng (NIC), thực hiện các bước tương tự trên mỗi card mạng.
Lúc này không còn cổng nào được liệt kê nữa, bạn đã hoàn toàn ngăn chặn Wanna Cry trên Windows XP, đóng các cổng 445, 135, 137, 139. Máy tính của bạn sẽ trở nên an toàn hơn, đây là cách ngăn chặn Wanna Cry khá hữu ích dành cho các bạn sử dụng Windows XP.
Hiện có nhiều cách xử lý WannaCry với mỗi hệ điều hành khác nhau, nếu bạn dùng Windows 10, bạn cũng có thể tham khảo cách xử lý WannaCry bằng phương pháp mà Cục An toàn thông tin Quốc Gia.
Với những bạn không dùng Windows XP, các bạn hãy theo dõi bài viết 5 cách ngăn chặn WannarCry mà Taimienphi đã tổng hợp để chọn ra cho mình cách phòng tránh virus WannaCry tốt nhất nhé.