#勒索病毒 關於WannaCry的業餘解析

2017年5月15日 15:15
1. 來源: - 重災區: 俄國、烏克蘭與台灣 - 說明文件:中文描述很好,英文描述很差 討論: - 推測源自中國大陸 2. 類型: - 主動式病毒 - 木馬本體:tasksche.exe - 利用SMB網路共享的功能加入控制腳本 討論: - 應該算是Feature造成的安全性問題,廣義的系統漏洞 3. 途徑: - 應用層(SMB) - 傳輸層(TCP port445) - 資料連結層(PPPOE) 討論: - 將SMB的登錄檔key值設為false(0) - 將port445加入防火牆阻擋規則(不能使用印表機了😱) - 將實體IP改成虛擬IP(家用網路多數使用DHCP) 4. 被加密的檔案類型: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der 討論: - 若你電腦檔案的副檔名不在上列,此類檔案不會被加密綁架 5. 被避開加密的資料夾: \ProgramData \Intel \WINDOWS \Program Files \Program Files (x86) \AppData\Local\Temp \Local Settings\Temp 討論: - 若你電腦檔案放在上列資料夾,其中的檔案不會被加密綁架 6. 系統攻擊入侵檢測: - a. www.binaryedge.io/doublepulsar.html - b. doublepulsar.below0day.com 討論: - 如果系統無風險則顯示 a. We haven't detected an infection from yourIP b. NO DOUBLEPULSAR Implant Detected 7. 如何付贖金? - 比特幣 討論: - 最近中國大陸禁止交易比特幣,或許可以考慮海外交易賺一筆(誤) 小弟才疏學淺,歡迎各位大德討論與補充
34
回應 15
文章資訊
熱門回應
我一直疑問這病毒到底是誰放的...🙄🙄🙄
共 15 則回應
我一直疑問這病毒到底是誰放的...🙄🙄🙄
國立暨南國際大學
又不是什麼東西 加密的東西可以繞過密碼直接打開 不過有點麻煩
修平科技大學 應用財務金融系
B1 我也很好奇是哪個傢伙放的毒??
世新大學 公共關係暨廣告學系
至少喚起大眾對資安的些微重視 也算不幸中的好事吧
b2 請問怎麼做
通報 📢 好像有人對這篇文章有新想法唷,快來去看看!
匿名
這則回應已被刪除
2017年5月15日 21:41
已經刪除的內容就像 Dcard 一樣,錯過是無法再相見的!
國立暨南國際大學
就像網路有分層一樣 大多數的人都是在表層 把電腦開到深層網路那邊,就可以繞過去。不過深層網那邊的人電腦技術都頗高,跟那些大大比,我只是小嫩b 我是B2
B5 你可以去找yoyodiy 他可以繞過去
b9 謝謝您
想請問印表機不能使用是指 印表機若用usb連接電腦也不能使用嗎
B8繞你個大屌,所以你的意思是現在連銀行都可以繞過去就是了?加密方式是哪一種知不知道? 還是你是鼎鼎大名的yoyodiy
拜託 要唬爛還是要裝屌 先做做功課好嗎? 什麼深層網路很難進?都是超專業人士? 拜託 進去的方式有很難嗎?隨便載個Tor就進去了 裡面大多是非法行為和暴力血腥18禁以上的東西而已,當然還有少數不知名的病毒,什麼叫做進去暗網就可以繞過去。 這話對IT人來說,已經笑掉不知幾顆牙齒了
B11 想像一個實驗室裡有很多台電腦和一台印表機 原本只有一台電腦連接印表機 但其他台電腦因為走SMB通道的關係 可以掛載目錄到本身有印表機的那台電腦 藉此共用同一台印表機 因此這邊說的不能使用印表機 精確來說是指不能"共享"別台電腦的印表機 自己的印表機當然還是可以用XD
謝謝你!我還偷偷印了一張發現可以印就安心了哈哈