#勒索病毒 關於WannaCry的業餘解析
2017年5月15日 15:15
1. 來源:
- 重災區: 俄國、烏克蘭與台灣
- 說明文件:中文描述很好,英文描述很差
討論:
- 推測源自中國大陸
2. 類型:
- 主動式病毒
- 木馬本體:tasksche.exe
- 利用SMB網路共享的功能加入控制腳本
討論:
- 應該算是Feature造成的安全性問題,廣義的系統漏洞
3. 途徑:
- 應用層(SMB)
- 傳輸層(TCP port445)
- 資料連結層(PPPOE)
討論:
- 將SMB的登錄檔key值設為false(0)
- 將port445加入防火牆阻擋規則(不能使用印表機了😱)
- 將實體IP改成虛擬IP(家用網路多數使用DHCP)
4. 被加密的檔案類型:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
討論:
- 若你電腦檔案的副檔名不在上列,此類檔案不會被加密綁架
5. 被避開加密的資料夾:
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
討論:
- 若你電腦檔案放在上列資料夾,其中的檔案不會被加密綁架
6. 系統攻擊入侵檢測:
- a. www.binaryedge.io/doublepulsar.html
- b. doublepulsar.below0day.com
討論:
- 如果系統無風險則顯示
a. We haven't detected an infection from yourIP
b. NO DOUBLEPULSAR Implant Detected
7. 如何付贖金?
- 比特幣
討論:
- 最近中國大陸禁止交易比特幣,或許可以考慮海外交易賺一筆(誤)
小弟才疏學淺,歡迎各位大德討論與補充
