TWed2k - 轉貼文字區 - [轉貼] WanaCrypt0r 2.0 大規模攻擊漏洞系統

主題: [新聞] [轉貼] WanaCrypt0r 2.0 大規模攻擊漏洞系統 [打印本頁]

發表人: popo60433 時間: 2017-5-13 02:44 AM 主題: [轉貼] WanaCrypt0r 2.0 大規模攻擊漏洞系統

https://www.ptt.cc/bbs/AntiVirus/M.1494600965.A.ED7.html

來源：https://twitter.com/malwrhunterteam

MalwareHunterTeam表示

WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
不到2小時的時間中已經造成重大災情，第一波主要的攻擊目標為：

Taiwan
Russia
Turkey
Kazakhstan
Indonesia
Vietnam
Japan
Spain
Germany
Ukraine
Philippines

在用Windows 7或Windows XP的用戶，或是很久沒開機的Windows 10電腦，不要打開你的電腦，先拔掉網路線！一個兇猛的勒索病毒正在全球肆虐，連上網路就可能中標。英國多家醫院因此癱瘓，俄國、西班牙、日本、台灣等地也正遭受猛烈攻擊，已蔓延全球至少74國。要先確認電腦有沒有進行3月份的微軟重大更新，如果沒更新，可能就會中標。

這個稱為「 WanaCrypt0r 2.0」或者「WannaCry」、「Wcry」的病毒，利用美國國安局（NSA）外流的Windows漏洞進行攻擊，把電腦鎖死，開始把文件、圖檔自動加密變成無法打開的檔案。電腦會跳出紅色畫面，要求用比特幣支付300美元（約9000台幣），否則電腦的文件、圖片等重要檔案將完全破壞無法恢復。

俄國RT新聞網引述資訊安全公司卡巴斯基的統計，全球已經至少74國的電腦遭受攻擊。Avast防毒軟體公司估計已經至少5.7萬台電腦被駭。英國公衛體系NHS旗下的大量醫院、診所已經因此暫停看病，甚至電話系統也癱瘓。西班牙Telefonica電信公司與許多企業的電腦也正遭受攻擊。災情目前還在擴大中。

台灣BBS網站Ptt也在昨晚7時開始湧現受害者求救訊息。其中一名網友貼出被勒索的畫面，除了是以正體中文書寫，其他狀況與國外受害者如出一轍，顯示台灣也遭殃。

微軟已經在今年3月份的更新把這次疑遭攻擊的漏洞修補，如果是一般正常運作的Windows電腦，應該已經自行更新完成。但是診所、公司的電腦經常沒有即時更新。許多用戶嫌Windows更新擾人或者拖慢電腦，也關閉更新因此受害。一些電腦數個月未開沒有更新，也可能因此中標。

稍早消息傳出，英國國民保健署（NHS）連結其醫院的電腦系統同時遭勒索軟體攻擊後，歐亞兩洲也有多國機構遭攻擊，包括土耳其、越南、菲律賓、日本、西班牙、義大利、葡萄牙、英國、俄羅斯和烏克蘭共12國也有多家機構報告遭勒索軟體攻擊，電腦遭鎖住，要求以比特幣付贖金。美國《紐時》報導指，這款勒索軟體是美國國安局先前遭竊外洩的駭客工具之一。

這款勒索軟體由自稱「影子掮客」（Shadow Brokers）的團體外洩，該團體去年開始在網上公開從美國國安局竊取的駭客工具，微軟今年3月推出修補程式防範勒索軟體，但不少機構特別是醫院尚未更新系統，成為容易下手的目標，這款惡意軟體透過電郵散播，寄送壓縮加密檔案，一旦下載，就能讓勒索軟體滲入目標電腦，將電腦鎖住並將電腦上的檔案加密，藉此要求贖金以解鎖電腦。（國際中心／綜合外電報導）

http://bit.ly/2qbYOOs

超多人中標...PTT的防毒版人好多XDDD

[popo60433 在 2017-5-13 06:39 AM 作了最後編輯]

發表人: cys070 時間: 2017-5-13 07:13 AM

這隻不一定是透過mail攻擊

目前看到中標還有停車場系統
那個根本沒在收發mail

走漏洞攻擊，估計連網路就可能被掃到

發表人: hc_JCH 時間: 2017-5-13 10:54 AM

台灣一堆人都不開Windows Update
也沒有ˋ裝防毒軟體和防火牆及備份資料的習慣
中獎率自然高
而且現在微軟針對Intel第7代CPU及AMD Ryzen在Windows10以下的作業系統無法用Windows Update
擺明就是要逼用戶換Windows10

發表人: xgt 時間: 2017-5-13 11:57 AM

有看到其中一篇報導是寫透過SMB也就是Port445,網芳傳播的

發表人: 阿鏗 時間: 2017-5-13 12:29 PM

中招了...才剛換SSD灌完win7
防毒軟體也沒裝
掛著看看動畫就突然顯示找不到檔案
趕快關機斷網
還好目前災情只在桌面檔案被鎖住
現在只好等破解了

發表人: xgt 時間: 2017-5-13 01:27 PM

引用:

阿鏗寫到:

中招了...才剛換SSD灌完win7
防毒軟體也沒裝
掛著看看動畫就突然顯示找不到檔案
趕快關機斷網
還好目前災情只在桌面檔案被鎖住
現在只好等破解了

微軟在三月份已修復此漏洞,另外Win10沒有這漏洞
https://technet.microsoft.com/zh ... PPError=-2147217396
灌完OS先關掉共享,即網卡內容的File And Printer Sharing For Microsoft Networks不要打勾,
關閉Server服務(Win+R執行services.msc,找到server啟動類型改為停用,重開機)
或者可以暫時先改用Linux上網

[xgt 在 2017-5-13 01:36 PM 作了最後編輯]

發表人: cys070 時間: 2017-5-13 04:07 PM

假如還在用win7和xp
445 port改成預設拒絕關起來

這次有裝分享器的人，可能部分運氣好會躲過

發表人: hentai_ojisan 時間: 2017-5-13 04:27 PM

從PPT得到的解決方式：

防範WanaCrypt0r 2.0 大規模攻擊漏洞系統
攻擊手法: 攻擊 Microsoft Windows SMB 漏洞
漏洞造成的問題: 可遠端執行程式碼
已改善: 是 (整合在 2017/3 月安全性更新 17/3/14 發佈)
受影響系統:
Windows Vista,7,8,8.1,10(1507,1511,1607),
Server 2008, 2008 R2, 2012, 2012 R2,
Windows RT

先斷開網路關閉 SMB 1.0/CIFS 檔案共用支援，
再連線進行Windows更新

(A) Windows 7 x86 or x64 以上
1. 按 Windows 鍵 + R
2. 輸入 regedit
3. 找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
4. 新增 DWORD key SMB1，值設定為 0
在空白處按右鍵 > 新增 > DWORD(32 位元) 值名稱鍵入 SMB1，之後在新增的項目中按右鍵修改，修改資料為 0。
5. 就修改完成，重新開機。

(B) Windows 8 以上
開啟控制台 > 程式集 > 開啟或關閉 Windows 功能，把 SMB 1.0/CIFS 檔案共用支援勾勾取消掉就好。

(C) Windows XP
更新「WES09 與 POSReady 2009 的安全性更新 (KB4012598)」。
https://www.ptt.cc/bbs/AntiVirus/M.1494612265.A.EFE.html

(D) Windows 10
原則上透過線上更新即可防護。

更新檔案下載連結：
Win 7 x64
http://download.windowsupdate.co ... 124b207d0d0540f.msu

Win 7 x86
http://download.windowsupdate.co ... aabd727d510c6a7.msu

Win 8.1 x64
http://download.windowsupdate.co ... 9e3a66568964b23.msu

Win 8.1 x86
http://download.windowsupdate.co ... 345faf7bac587d7.msu

備註：Win 8沒有修正檔，請直接升級成Win 8.1 or Win 10

驗證：
01. 安裝後的電腦使用 https://doublepulsar.below0day.com/ 掃描會顯示安全。
02. 執行「detect_doublepulsar_smb.exe」（Win 10 / 2016 不適用）
https://mega.nz/#!PJwUwDQI!LmSX5 ... 0d91JKXyD-Py-5aa3Nw

題外話，目前我公司辦公電腦還一堆Win 7、Win XP，1台Win 2003，然後出給客戶的電腦都是Win 8.1...
我看我有得搞了...

話說C大，您推薦的Comodo對勒索病毒效果如何？
我朋友家Win 7 電腦也中了好幾台...

[hentai_ojisan 在 2017-5-13 05:34 PM 作了最後編輯]

發表人: Ralse 時間: 2017-5-13 06:16 PM

從windows defender發現重大漏洞之後又爆了這個SMB漏洞，感覺布局好了。

不過我的系統都沒事就是了，SMB漏洞有ip分享器幫我檔了，
倒是在論壇看到某高職的資處科拍的影片，整間電腦教室的電腦都掛了，哈哈哈。

發表人: cys070 時間: 2017-5-13 06:25 PM

這次是很有規模犯罪行動，伊莉那個釣魚根本比不上....

德國火車站的電腦也被綁，列車班次看板跳出勒索畫面

[cys070 在 2017-5-13 06:27 PM 作了最後編輯]

發表人: poioq 時間: 2017-5-13 07:08 PM

四月底我就因為這個漏洞
應該被掃到丟木馬進來，然後NOD有跳抓到毒，電腦就自己重開機了
查了一下網站
http://www.ithome.com.tw/news/113667
四月底就把這個洞補起來了
不然我應該也會中標吧

發表人: emulemania 時間: 2017-5-13 07:10 PM

我有個疑問，真的沒辦法從他所指定的匯款帳戶往回追嘛?
真的太囂張了，看了好不爽

發表人: popo60433 時間: 2017-5-13 09:01 PM

引用:

emulemania寫到:

我有個疑問，真的沒辦法從他所指定的匯款帳戶往回追嘛?
真的太囂張了，看了好不爽

比特幣無法追回來...

發表人: acrd 時間: 2017-5-13 09:59 PM

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

OneDrive分流
https://1drv.ms/f/s!AobapabUs4uTjjRWjtKHNzdekUMB

[acrd 在 2017-5-13 10:39 PM 作了最後編輯]

發表人: hentai_ojisan 時間: 2017-5-13 10:22 PM

這個分享太好了，微軟連標準版Win XP及Win 2003的更新也補釋出了！
這樣我就不用煩惱我公司的Win 2003要怎麼處理了！

引用:

acrd寫到:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

發表人: cys070 時間: 2017-5-13 10:55 PM

xp那個更新應該原本只提供給那些專案付費企業客戶

這次災情太大，只好放出來給個體戶用

不過還是建議能升級到win7以上系統還是做一下
能的話最好上win10，強迫更新不能關掉的優點這時候就出現

[cys070 在 2017-5-13 11:03 PM 作了最後編輯]

發表人: owhohoh 時間: 2017-5-14 11:55 AM

我是照8樓所說的方法補完漏洞，然後到第一個驗證方法的網頁去驗證。

進入網頁後，點"SCAN IP"，安全的話，會出現"NO DOUBLEPULSAR

Implant Detected"的訊息。

======================================================

第二個驗證方法可以參考一下下面的連結：

Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

不過我是一直執行程式失敗，大概訊息如下圖所示；

另外幫忙偵測程式分流一下，使用前請記得詳讀使用說明喔。

EternalBlueDetector106.zip

[owhohoh 在 2017-5-14 12:13 PM 作了最後編輯]

發表人: popo60433 時間: 2017-5-14 12:15 PM

平時養成UPDATA的習慣
就不會有這問題發生

發表人: owhohoh 時間: 2017-5-14 12:18 PM

引用:

popo60433寫到:

平時養成UPDATA的習慣
就不會有這問題發生

我的系統有不能說的秘密。

發表人: popo60433 時間: 2017-5-14 12:28 PM

引用:

owhohoh寫到:

引用:

popo60433寫到:

平時養成UPDATA的習慣
就不會有這問題發生

我的系統有不能說的秘密。

還好我驢子專用一台遊戲一台下載一台 XD

分工合作無煩惱

發表人: owhohoh 時間: 2017-5-14 12:37 PM

引用:

popo60433寫到:

還好我驢子專用一台遊戲一台下載一台 XD

分工合作無煩惱

所以我也打算買台新電腦，原本這台就可以隨便折騰了。

咦？！突然之間開啟了聊天模式。

[owhohoh 在 2017-5-14 12:38 PM 作了最後編輯]

發表人: popo60433 時間: 2017-5-14 12:51 PM

經驗分享談雞蛋不能放在同個籃子裡...XD

發表人: owhohoh 時間: 2017-5-14 01:03 PM

引用:

popo60433寫到:

經驗分享談雞蛋不能放在同個籃子裡...XD

因為總會有好心的分享者(好人卡群發術施展

)，所以失去的檔案總有回歸的一天；

檔案失落的心境也從原本的惋惜到現在的波瀾不驚，重點是要活到好心人出現。

發表人: n725 時間: 2017-5-14 02:22 PM

http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試

快速格式化-->Disk drill還原

發表人: 貓神官 時間: 2017-5-14 08:37 PM

引用:

n725寫到:

http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試

快速格式化-->Disk drill還原

這加密程式的做法是，先製作出一個加密後的檔案，再把原檔案刪除。
所以還原軟體是可以把被刪除的檔案找回來的。
但前提是磁碟空間夠大，讓被刪除的檔案不被覆蓋。

除非你放重要資料的磁碟利用率低於50%
有「比較大」的機會可以用它說的方法
而且還要在這段期間內沒去碰到資料磁區

而且你的重要資料還要夠小才能保證檔案完整性，如果是影片檔？那大概就呵呵了

發表人: ROACH 時間: 2017-5-14 10:32 PM

覺得大家也不用擔心自己會中
以往大家都是直接在電腦設定ISP連線帳號密碼直接連到網路上
後來像中華電信裝機時都統一在IP分享器上設定帳號密碼
等於內部取到的是虛擬IP

ˋ這次的勒索病毒是掃描SMB 445的Port
但在IP分享器下外面根本掃不到內部電腦的Port

只是還是要預防{點到不該點的連結}倒是真的

發表人: cys070 時間: 2017-5-14 10:36 PM

不一定
我的VDSL數據機沒有硬撥功能，只能拿實體ip
這台也很久，中華說沒壞不給換.....
可能我貢獻度太低，來推銷MOD也拒絕

不過本來就沒安全感，從以前都有用台ap在撥接

[cys070 在 2017-5-14 10:41 PM 作了最後編輯]

發表人: hentai_ojisan 時間: 2017-5-14 11:32 PM

感謝提供資訊，這樣我就可以嘗試幫我朋友試試看是否可以恢復資料！

引用:

n725寫到:

http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試

快速格式化-->Disk drill還原

發表人: hentai_ojisan 時間: 2017-5-15 01:18 PM

可以跟中華電申請vdsl數據機要增加wifi功能，應該就會換一台有wifi的數據機，理論上應該就會有硬撥功能了。

因為我3月去新申裝VDSL 16M/3M，發現現在數據機包含家用wifi功能（以前家用wifi是要另外付月租的），且官網也有提到光世代方案的家用wifi月租是0元。

所以CYS大去中華電櫃台拍桌子問看看為什麼別人可以免費用wifi您卻不行，叫中華電給個說法！

引用:

cys070寫到:

不一定
我的VDSL數據機沒有硬撥功能，只能拿實體ip
這台也很久，中華說沒壞不給換.....
可能我貢獻度太低，來推銷MOD也拒絕

不過本來就沒安全感，從以前都有用台ap在撥接

[cys070 在 2017-5-14 10:41 PM 作了最後編輯]

發表人: topedia 時間: 2017-5-15 08:22 PM

我的小烏龜也沒有硬撥功能
都是PPPOE撥接上網...

發表人: hentai_ojisan 時間: 2017-5-16 11:00 PM

救援行動不樂觀，看來「想哭」團隊有想到這一點...

使用幾套Data Recovery軟體，是可以找到不少被刪除的檔案，但是檔名都是「nnnnnn.WNACRYT」（6位數字流水號）。

初步猜測，肉票會先被rename為「nnnnnn.WNACRYT」，然後加密後產生「原始檔名.副檔名.WNACRY」，接著刪除「nnnnnn.WNACRYT」。

因為朋友硬碟3TB HDD原始資料量超過容量50%，因此被刪除的檔案磁區（nnnnnn.WNACRYT）幾乎都已被新檔案（原始檔名.副檔名.WNACRY）覆蓋了...

但即使沒被覆蓋磁區，「nnnnnn.WNACRYT」要如何對應回「原始檔名.副檔名」，也是一件很難處理的作業...
（也還不知道「nnnnnn.WNACRYT」是不是就是肉票...）

引用:

hentai_ojisan寫到:

感謝提供資訊，這樣我就可以嘗試幫我朋友試試看是否可以恢復資料！

引用:

n725寫到:

http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試

快速格式化-->Disk drill還原

發表人: HAY 時間: 2017-5-17 12:18 PM

首先備份已加密檔案、備份救援回來的檔案，
不要用已感染的硬碟開機，
統計有哪些檔案被加密，
比對已加密檔案和救援回來的檔案的檔案大小，
依此來變更救援回來的檔案的檔名，
如果真的是很重要的檔案才救，
不然重灌系統就好了

看看有沒有已加密檔案和原始檔案，
可以上傳一下，看看是對檔案動了什麼手腳

[HAY 在 2017-5-17 12:22 PM 作了最後編輯]

發表人: n725 時間: 2017-5-25 04:42 PM

Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在 2017-5-25 04:44 PM 作了最後編輯]

發表人: popo60433 時間: 2017-5-25 06:18 PM

引用:

n725寫到:

Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在 2017-5-25 04:44 PM 作了最後編輯]

補充一下

Trend Micro 推出了一款 WannaCry 的解密工具Trend Micro Ransomware File Decryptor，可以讓你被 WannaCry 等勒索病毒加密了的檔案進行解密。

這個解密工具可以解密多個加密病毒，包括 CryptXXX V1, V2, V3*、TeslaCrypt V1**、TeslaCrypt V2**、TeslaCrypt V3、TeslaCrypt V4、SNSLocker、AutoLocky、BadBlock、777、XORIST、XORBAT、CERBER v1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop,Jigsaw, Globe/Purge, DXXD,Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry(WCRY)，而他們的副檔名分別是.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky, .xorist, .crypted,.cerber,.locked, .crypted, .crypt, .LeChiffre, .xtbl, .dharma, .demoadc, WNCRY, WCRY

前提是不能重開機因為是重RAM裡面撈檔案的重開機後就無解

發表人: hentai_ojisan 時間: 2017-5-27 02:35 PM

感謝2位大大的提供與解釋。

但是趨勢科技也有點令人無言，中毒時不要重新開機才有機會復原檔案...印象中「想哭」不是發病後6天就會刪除所有檔案，所以對第一波中獎的人根本無用，只有後面中的人還有機會可以復原。

還有趨勢科技備註一點是在Win XP 32bit復原檔案的機率較高，其他Windows的復原機率相當低...

這該不會是用來挽救名聲的花拳繡腿工具？

引用:

popo60433寫到:

引用:

n725寫到:

Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在 2017-5-25 04:44 PM 作了最後編輯]

歡迎光臨 TWed2k (http://twed2k.org/)