[轉貼]【更新】勒索軟體病毒全球肆虐99國 台灣也受害

xiaolaba

dcstudio 發表於 2017-5-13 08:30 PM
牛找到這支病毒的攻擊模式說明是
"透過微軟的MS1-010漏洞進行攻擊，攻擊者會直接掃描IP並檢查Port 445是否 ...

看了一例 EPSON L356 的印表机有打开这个 PORT 445 用，他会全自动告诉你有韧体可更新下载的。
不知道装机的人设定，还是装软体就自动开了。目前是一率卸载 SMB 1.0

dcstudio

xiaolaba 發表於 2017-5-14 06:16 PM
看了一例 EPSON L356 的印表机有打开这个 PORT 445 用，他会全自动告诉你有韧体可更新下载的。
不知道装 ...

這就是可怕的地方了... 開了Port 445, 就可以透過遠端的方式傳檔...
這些所謂的全自動更新到底是好還是壞呢?

以牛來說, 牛只打開要使用的Port, 其它一律關掉,
所有能自動偵測韌體更新的功能都設為 "通知/但不自動下載"
這樣的管理, 雖然避不掉日新月異的攻擊, 但加減可以在溫室中不受第一線的攻擊..

另外, 牛看到您另一帖有提到會有不同IP進來試密碼的狀況,
牛的做法是, 一個IP在一定的時間內試錯幾次後, 直接就將該IP封鎖...
一樣的, 這樣的做法, 雖然避不掉攻擊, 但加減可以在第一線就擋掉先發攻擊..

wish

xiaolaba 發表於 2017-5-14 06:16 PM
看了一例 EPSON L356 的印表机有打开这个 PORT 445 用，他会全自动告诉你有韧体可更新下载的。
不知道装 ...

哈！烏骨雞學姐好像就是用這台列表機

三月份安全性更新號碼
Windows 7 : KB4012215
Windows 8.1:KB4012216

四月份安全性更新號碼
Windows 7 : KB4015549
Windows 8.1:KB4015550

五月份安全性更新號碼
Windows 7: KB4019264
Windows 8.1:KB4019215

peter5438

wish 發表於 2017-5-14 11:02 PM
哈！烏骨雞學姐好像就是用這台列表機

三月份安全性更新號碼

[題外話]:
大力推薦, 公司應該使用 Mono Laser Printer 主要是因為文件不會因水而被沖洗掉或者變值(change color), 因為 InkJet Printer 的黑色不是真正的碳粉黑色. 而且還可以用來印刷不褪色的名片哦!

我本身是用這個...samsung scx-4623f multifunction laser printer with copy/fax/print/scan.....提供您作參考. 不會很貴, 而且自己加碳粉, 已經用了五六年了, 照成本計算, 其實比 InkJet 每一張紙的印刷成本是更低的, 印刷的速度更快.

LED電視裡面的折光版廢物利用.





會有彩虹..Ooo.


烏骨雞學姐 .....每天都叫我印名片.........好無聊!



補充內容 (2017-5-15 04:00 AM):
因為我用它Laser Printer 來印收據, 不能退色.

ericchou

peter5438 發表於 2017-5-15 01:51 AM
[題外話]:
大力推薦, 公司應該使用 Mono Laser Printer 主要是因為文件不會因水而被沖洗掉或者變值(chang ...

折光版
就是偏光板嗎 ?

照片中的那片，厚度約幾m/m ?

謝謝

xiaolaba

dcstudio 發表於 2017-5-14 07:04 PM
這就是可怕的地方了... 開了Port 445, 就可以透過遠端的方式傳檔...
這些所謂的全自動更新到底是好還是壞 ...

原機已設定好 會擋
不過速度會降低
現在唯一就是全關

goodnight

可惡的m$ 更新綁 KB4012215 (偵測你是否使用 INTEL 第七代 CPU)

xiaolaba

wish 發表於 2017-5-14 11:02 PM
哈！烏骨雞學姐好像就是用這台列表機

三月份安全性更新號碼

那要看看本機的那個port還是不是在開
firewall擋了 補丁打了 smb關了 不一定安全
因為是潛伏的病毒 也開始變種
微軟還是很委婉說這事
你明白的

conbawa

goodnight 發表於 2017-5-15 09:15 AM
可惡的m$ 更新綁 KB4012215 (偵測你是否使用 INTEL 第七代 CPU)

KB4012215這個是三月匯總更新套件的樣子
5月的更新匯總套件是KB4019264.

只不過,我也不知道到底五月的有沒有放入這各CPU檢查

goodnight

以下是我公司收到的訊息, 相信大家應該都有了, 還是提供給大家參考

【測試方式】

根據HiNet SOC情報人員分析，目前已有下列方式可測試目前是否具有高度受害之可能性：
1. 確認windows 版本之SMB是否開啟與相關windows update 是否已經完成patch 修正，點選WindowsUpdate的檢視更新紀錄，檢查有無對應KB編號。各版本修正檔案如下：

Windows  版本	KB編號
Windows  7, Server 2008 R2	KB4012215
Windows  Server 2008	KB4012598
Windows  Server 2012 R2	KB4012216
Windows  Server 2012	KB4012217
Windows  Server 2016	KB4013429
Windows  Vista	KB4012598
Windows  8.1	KB4012216
Windows  2003	KB4012598
Windows  XP	KB4012598

2. 透過工具程式進行確認，於Github:https://github.com/countercept/doublepulsar-detection-script，可進行單一電腦或內網電腦掃描，用戶須先安裝python程式進行測試，輸入以下命令：pythondoublepulsar_smb.py —ip xxx.xxx.xxx.xxx，如測試結果為Nopresence of DOUBLEPULSAR SMB implant，代表無SMB弱點可被攻擊。
3. 根據HiNet SOC情報搜集，目前有大量可疑IP與DN進行攻擊，用戶可自行評估是否需進行阻擋，或透過防火牆設備關閉port 137，139，445外部連線功能，IP與DN清單如下：

IP	DN
96.127.190.2	www.43bwabxrduicndiocpo.net
184.154.48.172	www.dyc5m6xx36kxj.net
108.163.228.172	www.gurj5i6cvyi.net
200.58.103.166	www.bcbnprjwry2.net
216.145.112.183	www.sxdcmua5ae7saa2.net
162.220.58.39	www.rbacrbyq2czpwnl5.net
192.237.153.208	www.fa3e7yyp7slwb2.com
75.126.5.21	www.wwld4ztvwurz4.com
128.31.0.39	www.bqkv73uv72t.com
144.76.92.176	www.xanznp2kq.com
148.244.38.101	www.chy4j2eqieccuk.com
149.202.160.69	www.lkry2vwbd.com
163.172.149.155	www.ju2ymymh4zlsk.com
171.25.193.9	www.graficagbin.com.br
195.22.26.248	www.sdhjjekfp4k.com
197.231.221.221	www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
198.96.155.3
123.61.66.117
46.101.142.174
46.101.166.19
62.210.124.124
91.121.65.179
91.219.237.229

4. 目前已有防火牆廠商，IPS廠商已提供防範Pattern阻擋此類攻擊發生，HiNet SOC以整理如下，敬請用戶自行檢查是否已更新到最新版本：

廠牌	Pattern
Palo  alto	Name:  Microsoft Windows SMB Remote Code Execution Vulnerability   Unique id:32424,32494,32427,32393,32716,32422
checkpoint	Microsoft  Windows EternalBlue SMB Remote Code Execution
sourcefire	Snort  Rule: 42329-42332, 42340, 41978
Trendmicro	Trend  Micro Deep Security and Vulnerability Protection   IPS Rules 1008224, 1008228, 1008225, 1008227
Trend  Micro TippingPoint	Filters  5614, 27433, 27711, 27935, 27928
Forint	MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
Emerging  Threats	alert  smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE  MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00  31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c  4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE;  flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)
mcafee	NETBIOS-SS:  Windows SMBv1 identical MID and FID type confusion vulnerability   NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability   NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability   NETBIOS-SS: Windows SMBv1 information disclosure vulnerability

【結論】

綜合以上情報分析，建議客戶可採取以下防護措施：
1. 先將網路停用外部連線功能, 管理者至windows AD派送以上之KB修補程式至所有主機進行更新作業。
2. 確認防毒程式，防火牆，IPS等已更新至最新版本病毒碼與偵測程式碼，請參考以上內容。
3. 無中勒索病毒之電腦主機，即刻將重要資料備份，備份資料離線保管。

【參考資料】

• TrendMicro (2017/05/13)
• Malwarebytes(2017/05/13)
• Microsoft(2017/03/01)
• Microsoft(2017/05/14)
• piyolog(2017/05/13)
• peerlyst(2017/05/14)
• GitHub(2017/04/27)
• iThome(2017/05/14)
• MalwareTech(2017/05/13)
  

【更新紀錄】

v1.0 (2017/05/15)：發佈事件通告。

goodnight

conbawa 發表於 2017-5-15 03:33 PM
KB4012215這個是三月匯總更新套件的樣子
5月的更新匯總套件是KB4019264.

有, 只要是匯總套件, 都會放進去, 今天剛測試過, 所以以後都會含進去, 馬的

benson1206

還有一個不必付贖金的妙方!!
http://www.ettoday.net/news/20170514/924292.htm

a471

benson1206 發表於 2017-5-15 04:07 PM
還有一個不必付贖金的妙方!!
http://www.ettoday.net/news/20170514/924292.htm

請蔡宗痛去函該組織，說中華民國不是個國家而且國民收入日趨低下，不宜綁架

peter5438

ericchou 發表於 2017-5-15 07:55 AM
折光版
就是偏光板嗎 ?

是的應該是偏光板...其實裡面有白色的板, 也可以把它剪成A4 size尺寸,也可以運用.

[照片中的那片，厚度約幾m/m ?]  我也不知道? 但是我是用Hand Feed 的, 只要你的機器可以接受就可以了.

peter5438

從這裡開始 26:41 ...........比我們想像的更嚴重!

美國國安黑客武器遭竊 “想哭”電腦病毒勒索150國
http://show.aikantube.com/tv/48/20170515/

peter5438

benson1206 發表於 2017-5-15 04:07 PM
還有一個不必付贖金的妙方!!
http://www.ettoday.net/news/20170514/924292.htm

這個小孩子......A7...A   來這裡.....給你打八折!

xicon1120

個人覺得最好的做法就是異地備份，另外拿一顆外接硬碟備份重要資料，平時不跟電腦連線，這樣就算
電腦被綁架或是中毒，頂多就是重灌電腦系統而已，不用煩惱資料因此消失。

不過應該是不用太複雜化這個綁架程式，照片影音文檔檔重新加密是需要大量運算時間跟資源，以前的
綁架軟體運作方式是先複製加密後，再刪除原始檔案，極少是直接加密的，而當你看到跳出通知視窗時
，表示該綁架軟體已經運作完畢，而這就關係到電腦的防護夠不夠徹底，那沒有防護到已經跳出通知時
該怎麼辦，底下有人貼出的説法，或許可以參考看看，節錄部分原文以及附上原始連結提供大家參考...

我剛好有接手到一台苦主，可惜的是他的硬碟整個塞滿，原始檔案已經都被大量覆蓋，撈回的資料僅存
檔名，檔案本身結構已經破壞無法正常使用，算是失敗了，所以我無法驗證這個方法是否適用在這個版
本的綁架軟ˋ體，而且我也忘了備份病毒樣本，就這樣錯過了實際驗證的機會...

另外這次透過漏洞執行的綁架軟體解決方案是只要有確實更新安裝Windows patch 即可避免...

防毒軟體部分參考這篇看看：
https://www.ptt.cc/bbs/Gossiping/M.1494867396.A.883.html

裡面提到的 Bitdefender Antivirus Free Edition ，我對這個有點興趣目前實際上機試用中！

------另類解決方法的分隔線------
另外有電腦可以直接拔硬碟處理的話僅需參考第三項的做法，前兩項可忽略...

原文連結：
https://www.facebook.com/groups/ ... 07/?hc_location=ufi

重點節錄：
※第一步
　　當下朋友中標，打給我求救，我請他直接「斷電」
因為他的電腦是RAID10架構，無法拔硬碟出來解
所以我直接原機操作，使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor
病毒名稱為
1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)
※第二步
　　使用安全模式進入染毒作業系統
　　關閉全部服務與開機常駐
　　禁用系統還原
※第三步
　　使用 救回誤刪檔案的程式，我這次操作是用Recuva
安裝後開始撈資料， 能撈多少就撈多少嘍。
------------------------------------------------------------
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10，硬碟使用率為43%
------------------------------------------------------------
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友，建議找訪間的資料救援公司
並表示這顆硬碟遭加密，請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了

jim_chien

自外部主動測試連線......
為啥我覺得這東西不叫"病毒"，比較接近自動搜尋"後門"的意思？

vedncv

a471 發表於 2017-5-14 09:43 AM
下回不知有無人會開發出車輛綁架程式~~~

入侵車輛引擎控制系統，將引擎啟動運轉功能鎖住，即便你回原廠換 ...

玩命光頭八，所有車子不管有載人沒載人，有發動沒發動，都一起參加派對

vedncv

gsm7 發表於 2017-5-14 11:33 AM
我一台 Linux 的電腦，一台萬用長青的 Windows XP，直接連網沒過分享器，沒什麼華麗
的防毒軟體，只靠著最 ...

XP也有漏洞…說從2014年後就不維護了的，也出了更新程式

goodnight

vedncv 發表於 2017-5-17 04:48 PM
XP也有漏洞…說從2014年後就不維護了的，也出了更新程式

xp這是破例, win7 就下不為例了

goodnight

xicon1120 發表於 2017-5-16 09:48 AM
個人覺得最好的做法就是異地備份，另外拿一顆外接硬碟備份重要資料，平時不跟電腦連線，這樣就算
電腦被綁 ...

異地備份也是要上網, 只有離線手動備份, 確定沒問題時, 再開機備份

peter5438

兄弟們.......該是時候了........用免費的 LINUX MINT了....去成人網站..很好用哦!!! 都不會帶病毒回來的....:sam37

https://www.linuxmint.com/download.php

下載ISO檔案.............然後燒錄在DVD上, 重新開機...照著選項即可一步一步地完成....可以和Windows並存哦!

[註] :  我PO在這裡的所有的照片, 截圖, 文章, 我都是用這個LINUX MINT MATE完成的. 我為什麼要用LINUX MINT不用Ubuntu呢? 因為LINUX MINT把你所需要用的程式都包裝好, 例如Google Chrome,  安裝後馬上可以用. 就是有懶人包..LA.

hoxmac

網路傳的其中一個方法應該是真的可以救出檔案

cremaker

勒索病毒肆虐　微軟的責任在哪裡？

kip

cremaker 發表於 2017-5-18 09:54 AM
勒索病毒肆虐　微軟的責任在哪裡？

無理言論。

寫病毒的人不被譴責，就是譴責一堆旁人。
跟台灣發生新聞事件寫報告的記者一樣。泛道德化。
回想以下情境:
某年某住家當發生火，幼兒不幸喪生火窟。原因是幼兒的媽媽燒開水，但是中途外出去買菜。
媽媽回到家時已經發生大火。記者訪問幼兒的媽，她說這社會太冷漠，沒有人幫忙。小孩才會命喪火窟....
記者跟著報導，這社會太冷漠.... 路人太冷漠....

唉，這事件是悲劇就不想去反駁了。但是，路人 "有責任" 嗎?

微軟有責任嗎? 要指責別人，何患無辭!  如果飛彈的作業系統是 MS 的，難道敵人的生死也要 MS 負責?
那麼發射飛彈的人呢?  沒被飛彈擊中旁觀的路人呢?

我的結論:  勒索軟體病毒的作者才是該被譴責的人。
微軟能夠及時修復系統漏洞，已經是表現出負責任的態度了。

cremaker

kip 發表於 2017-5-18 10:16 AM
無理言論。

寫病毒的人不被譴責，就是譴責一堆旁人。

該文章中強調了許多事，我想滿客觀的的！
最最重要的這不是微軟第一次，我想也不會是最後一次！
要求一個安全的系統這麼難嗎！更何況是用錢買，就好像你花了錢買到不合格的產品，會不會很幹！
算了，多說無益，反正這些病毒和我沒關連，我操哪家的心！

kip

算了，多說無益，反正這些病毒和我沒關連，我操哪家的心！

我想給強大一個讚!!! 對，就是這樣。

a471

就像你點了一碗麵.....吃幾口就發現小白菜沒熟透，老闆娘說OK你挑起來，我給你燙豆芽菜
換給你。然後吃著吃著發現滷蛋酸酸的，老闆說OK你別吃它~我給你煮一碗蛋花湯補償你。
最後吃快完居然發現麵條裡發黑有黴斑，老闆娘又說了~~~我給你一張牛肉麵雙人餐的招待
券，補償你今天的損失~~~抱歉抱歉

cremaker

a471 發表於 2017-5-18 10:57 AM
就像你點了一碗麵.....吃幾口就發現小白菜沒熟透，老闆娘說OK你挑起來，我給你燙豆芽菜
換給你。然後吃著吃 ...

這是不可能的事，你在安裝時，不是就在強調：
1. 你只有使用權，而無所有權，這點很那個，我買這套軟体， 居然不是我的
2. 對於可能造成的損害， 不負任何責任