RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [新聞] [轉貼] WanaCrypt0r 2.0 大規模攻擊漏洞系統   字型大小:||| 
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4612
 . 失蹤: 797
 . 新北市
#1 : 2017-5-13 04:27 PM     全部回覆 引言回覆

從PPT得到的解決方式:

防範WanaCrypt0r 2.0 大規模攻擊漏洞系統
攻擊手法: 攻擊 Microsoft Windows SMB 漏洞
漏洞造成的問題: 可遠端執行程式碼
已改善: 是 (整合在 2017/3 月安全性更新 17/3/14 發佈)
受影響系統:
Windows Vista,7,8,8.1,10(1507,1511,1607),
Server 2008, 2008 R2, 2012, 2012 R2,
Windows RT

先斷開網路關閉 SMB 1.0/CIFS 檔案共用支援,
再連線進行Windows更新

(A) Windows 7 x86 or x64 以上
1. 按 Windows 鍵 + R
2. 輸入 regedit
3. 找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
4. 新增 DWORD key SMB1,值設定為 0
在空白處按右鍵 > 新增 > DWORD(32 位元) 值 名稱鍵入 SMB1,之後在新增的項目中按右鍵 修改,修改資料為 0。
5. 就修改完成,重新開機。


(B) Windows 8 以上
開啟控制台 > 程式集 > 開啟或關閉 Windows 功能,把 SMB 1.0/CIFS 檔案共用支援勾勾取消掉就好。


(C) Windows XP
更新「WES09 與 POSReady 2009 的安全性更新 (KB4012598)」。
https://www.ptt.cc/bbs/AntiVirus/M.1494612265.A.EFE.html


(D) Windows 10
原則上透過線上更新即可防護。


更新檔案下載連結:
Win 7 x64
http://download.windowsupdate.co ... 124b207d0d0540f.msu

Win 7 x86
http://download.windowsupdate.co ... aabd727d510c6a7.msu

Win 8.1 x64
http://download.windowsupdate.co ... 9e3a66568964b23.msu

Win 8.1 x86
http://download.windowsupdate.co ... 345faf7bac587d7.msu

備註:Win 8沒有修正檔,請直接升級成Win 8.1 or Win 10

驗證:
01. 安裝後的電腦使用 https://doublepulsar.below0day.com/ 掃描會顯示安全。
02. 執行「detect_doublepulsar_smb.exe」(Win 10 / 2016 不適用)
https://mega.nz/#!PJwUwDQI!LmSX5 ... 0d91JKXyD-Py-5aa3Nw

題外話,目前我公司辦公電腦還一堆Win 7、Win XP,1台Win 2003,然後出給客戶的電腦都是Win 8.1...
我看我有得搞了...

話說C大,您推薦的Comodo對勒索病毒效果如何?
我朋友家Win 7 電腦也中了好幾台...

[hentai_ojisan 在  2017-5-13 05:34 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4612
 . 失蹤: 797
 . 新北市
#2 : 2017-5-13 10:22 PM     全部回覆 引言回覆

這個分享太好了,微軟連標準版Win XP及Win 2003的更新也補釋出了!
這樣我就不用煩惱我公司的Win 2003要怎麼處理了!


引用:



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4612
 . 失蹤: 797
 . 新北市
#3 : 2017-5-14 11:32 PM     全部回覆 引言回覆

感謝提供資訊,這樣我就可以嘗試幫我朋友試試看是否可以恢復資料!


引用:
n725寫到:
http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試
快速格式化-->Disk drill還原



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4612
 . 失蹤: 797
 . 新北市
#4 : 2017-5-15 01:18 PM     全部回覆 引言回覆

可以跟中華電申請vdsl數據機要增加wifi功能,應該就會換一台有wifi的數據機,理論上應該就會有硬撥功能了。

因為我3月去新申裝VDSL 16M/3M,發現現在數據機包含家用wifi功能(以前家用wifi是要另外付月租的),且官網也有提到光世代方案的家用wifi月租是0元。

所以CYS大去中華電櫃台拍桌子問看看為什麼別人可以免費用wifi您卻不行,叫中華電給個說法!


引用:
cys070寫到:
不一定
我的VDSL數據機沒有硬撥功能,只能拿實體ip
這台也很久,中華說沒壞不給換.....
可能我貢獻度太低,來推銷MOD也拒絕

不過本來就沒安全感,從以前都有用台ap在撥接

[cys070 在  2017-5-14 10:41 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4612
 . 失蹤: 797
 . 新北市
#5 : 2017-5-16 11:00 PM     全部回覆 引言回覆

救援行動不樂觀,看來「想哭」團隊有想到這一點...

使用幾套Data Recovery軟體,是可以找到不少被刪除的檔案,但是檔名都是「nnnnnn.WNACRYT」(6位數字流水號)。

初步猜測,肉票會先被rename為「nnnnnn.WNACRYT」,然後加密後產生「原始檔名.副檔名.WNACRY」,接著刪除「nnnnnn.WNACRYT」。

因為朋友硬碟3TB HDD原始資料量超過容量50%,因此被刪除的檔案磁區(nnnnnn.WNACRYT)幾乎都已被新檔案(原始檔名.副檔名.WNACRY)覆蓋了...

但即使沒被覆蓋磁區,「nnnnnn.WNACRYT」要如何對應回「原始檔名.副檔名」,也是一件很難處理的作業...
(也還不知道「nnnnnn.WNACRYT」是不是就是肉票...)


引用:
hentai_ojisan寫到:
感謝提供資訊,這樣我就可以嘗試幫我朋友試試看是否可以恢復資料!


引用:
n725寫到:
http://disp.cc/b/163-9yMx

PTT有高手破解,不知真假,有中標的人可以試試
快速格式化-->Disk drill還原



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
hentai_ojisan
銅驢友〔高級〕
等級: 10等級: 10等級: 10


十週年紀念徽章(四級)  

今日心情

 . 積分: 181
 . 文章: 312
 . 收花: 1568 支
 . 送花: 7449 支
 . 比例: 4.75
 . 在線: 540 小時
 . 瀏覽: 11060 頁
 . 註冊: 4612
 . 失蹤: 797
 . 新北市
#6 : 2017-5-27 02:35 PM     全部回覆 引言回覆

感謝2位大大的提供與解釋。

但是趨勢科技也有點令人無言,中毒時不要重新開機才有機會復原檔案...印象中「想哭」不是發病後6天就會刪除所有檔案,所以對第一波中獎的人根本無用,只有後面中的人還有機會可以復原。

還有趨勢科技備註一點是在Win XP 32bit復原檔案的機率較高,其他Windows的復原機率相當低...

這該不會是用來挽救名聲的花拳繡腿工具?


引用:
popo60433寫到:

引用:
n725寫到:
Downloading and Using the Trend Micro Ransomware File Decryptor
https://success.trendmicro.com/solution/1114221

[n725 在  2017-5-25 04:44 PM 作了最後編輯]


補充一下

Trend Micro 推出了一款 WannaCry 的解密工具Trend Micro Ransomware File Decryptor,可以讓你被 WannaCry 等勒索病毒加密了的檔案進行解密。

這個解密工具可以解密多個加密病毒,包括 CryptXXX V1, V2, V3*、TeslaCrypt V1**、TeslaCrypt V2**、TeslaCrypt V3、TeslaCrypt V4、SNSLocker、AutoLocky、BadBlock、777、XORIST、XORBAT、CERBER v1, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop,Jigsaw, Globe/Purge, DXXD,Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry(WCRY),而他們的副檔名分別是.crypt, .ECC, .VVV, CCC, ZZZ, AAA, ABC, XYZ, .XXX, TTT, MICRO, .RSNSLocked, .locky, .xorist, .crypted,.cerber,.locked, .crypted, .crypt, .LeChiffre, .xtbl, .dharma, .demoadc, WNCRY, WCRY


前提是不能重開機 因為是重RAM裡面撈檔案的 重開機後就無解



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記

   



 



所在時區為 GMT+8, 現在時間是 2024-3-19 05:23 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.028472 second(s), 7 queries , Qzip disabled