用户
搜索
  • TA的每日心情
    慵懒
    2017-9-6 12:27
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    版主

    Rank: 7Rank: 7Rank: 7

    76

    主题

    402

    帖子

    1760

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2016-4-6

    楚突出贡献限定版春秋段子手i春秋签约作者

    发表于 2017-5-13 10:59:52 2812971

    你是如何看待5月12号爆发的在各高校电脑勒索比特币的病毒?


    在5月12号这个微风正好,阳光不燥的日子里,爆发了一个神奇的勒索病毒:WannaCry。

    这种病毒虽然不是头一次出现,但是却比以往的病毒都要变态:全球数千家公司和机构遭到名为WannaCry的电脑勒索病毒攻击,这种恶意软件可锁死数据,黑客向每台被操控的电脑索要300-600美元赎金,才能恢复被锁的数据。


    WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

    https://bbs.ichunqiu.com/thread-22878-1-1.html


    最新勒索软件WannaCrypt病毒感染前后应对措施

    https://bbs.ichunqiu.com/thread-22916-1-1.html


    解密全球爆发的电脑勒索病毒:幕后开发者还是谜

    https://bbs.ichunqiu.com/thread-22847-1-1.html


    不仅仅是国外,国内的各大高校也没能逃离魔掌,各学校大四毕业生纷纷表示:老子辛辛苦苦的文章全等于喂狗了!

    B83B12294EE2A68F982ADDED44578CB8.jpg

    国内多所院校电脑出现勒索软件感染情况,漏洞修复工具已发布

    https://bbs.ichunqiu.com/thread-22845-1-1.html


    漏洞修复工具已经出现了,但是对于那些没有条件的人来说手动修复也是可以防止病毒攻击的,自己动手,丰衣足食嘛~


    校园网未受影响用户临时预防方案

    https://bbs.ichunqiu.com/thread-22844-1-1.html


    当初感染病毒后最坏的结果不过是备份文件重装系统,然而今天,被感染后却再也打不开我们的文件(可怜我那几个T的小片片啊),微软爸爸除了打补丁毫无作为,真正出力的还是那些安全厂商,各位春秋的小伙伴们,面对这么一种病毒,你们有什么看法呢?


    发表于 2017-5-13 11:13:35
           从昨天就看到有些大佬们在讨论爆发的勒索者病毒,其实在上周就有某个企业发现了其数据服务器被walllet勒索者病毒加密全盘的情况,

    本以为是个个例,结果这周就爆发了各大高校的毕设或者实验机器被勒索的事件。
    1.png
    虽然不是同一个病毒引起的,但是关于wallet病毒,卡巴斯基实验室还没有提供完善的解密方案,而现在流行于各个高校的是基于wallet的变种,onion。
    之所以这次传播这么大,很大一部分的利用方式从传统的弱口令变成了nsa的那个ms17-010这个漏洞。
    2.jpg
    所以说解决方法也从这里入手。但是并不代表着升级之后以后就不会在出现这个问题。
    这次公开的0day落到的勒索人的手里,就不保证会没有下一次,,,,,,,所以,360,该你上了。
    至于为什么在学校爆发这个,一个原因是目标面对可能是拥有毕设和实验测试的有价值目标,另一个就是教育网不屏蔽危险服务探测。
    只能有防范方法,解决方法等待国家队把
    1,升级系统,更新补丁
    2,安装杀毒软件,防火墙等,推荐科莫多
    3,增加安全防范意识。
    4,组策略关闭445,135,139,137,138.
    5,360防火墙还是安利一波,可以手动添加策略拦截。
    学校网络中心的建议
    1, 边界防火墙关闭来自外部445等危险端口的连接。
    2, 屏蔽内网危险服务的探测。

    火绒拦截规则更改后 QQ截图20170513112926.png

    附上大佬共享的病毒样本



    解压密码954623886
    请不要在本机打开,分析在虚拟机请断开网络。
    样本.zip (3.32 MB, 下载次数: 109)
    一个来自四川高校的东北人
    www.8sec.cc
    使用道具 举报 回复
    发表于 2017-5-13 11:24:52
    本帖最后由 xiaoye 于 2017-5-13 11:30 编辑

    勒索软件层出不穷,背后肯定有一条“不为人知”的链条维系着,
    而这次的攻击范围。显然,,已经超出了我们想象,国内各大甲方、乙方都在做应急响应。
    然而我们很心塞地看到。。各大高校的安全意识实在是不尽人意。目前已经有不少高校感染了勒索病毒。感染之后想要凭借自己的力量解密几乎是不可能的,要么交赎金,要么自认倒霉;个人电脑损失可能较小(重要文件一定要备份云端啊。。),服务器的话可就损失惨重了
    这次攻击来势汹汹,但是也有一些应急措施可以做,比如开启win防火墙,关闭445等端口:
    1.PNG

    2.PNG

    3.PNG

    4.PNG

    5.PNG

    6.PNG

    360在此次响应中较为迅速,已经有工具可以检测 nsatool.exe:
    0.PNG

    应急方案:
    1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010
    2、关闭445、135、137、138、139端口,关闭网络共享。
    对于个人用户来说,整体就是:打开防火墙关闭445端口、开启win10更新!开启win10更新!开启win10更新!、360也可以来一发,如果你已经做了这些措施,也请你将重要的文件比如论文保存到云端,以防万一




    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    发表于 2017-5-13 11:29:34
    关于这次全球爆发 Win 电脑/服务器被勒索事件,我们说几句:

    1. 之前说漏洞收尾工作会被勒索软件完美解决,你看,这会是个常态;
    2. 匿名货币是这种犯罪的温床;
    3. 这次勒索蠕虫应该好几个(至少是变种关系),距离上次漏洞爆发(“方程式泄露加时赛”泄露的那批工具,其中一个是针对 Win 服务器 SMB 445 端口的)已经过去快一个月了,这收尾收得全球人民胆战心惊;
    4. 又是一个黑色星期五;
    5. 如果你电脑或服务器是 Win 的,别说话,赶紧把 445 端口禁用或尽快打上微软早发布的升级补丁;
    6. 黑客世界中,最恶劣的行为就是勒索病毒,更何况还是强势传播的蠕虫,因为这种传播会打破内网安全“神话”;
    7. 这种高强度加密的勒索病毒,无解。所以,备份多重要,及时打安全补丁多重要

    来自“懒人在思考公众号”余弦大佬的评见
    使用道具 举报 回复
    发表于 2017-5-13 11:27:07
    本帖最后由 春秋文阁负责人 于 2017-5-13 03:28 编辑

    引荐几个朋友圈大佬的意见:

    十年来对普通民众最大的漏洞利用了,吾爱破解昨天到现在收到多人反馈中招,学校,机房等众多未打系统补丁的机器成了重灾区,希望大家重视,打好系统补丁,防止被攻击,xp等老系统可以用360提供的补丁进行修复

    时隔多年右见蠕虫爆发,这次感染后几乎无解,有点03-026的感觉,多了比特币付钱收割,少了445广域网大规模传播的机会,当年被感染最坏就是备份文件重装系统打补丁,而今天私人文件如果不付费也打不开。微软在提供漏洞补丁之外只能默默等待安全厂商解决问题,十几年来没有任何创新

    让中国的网络安全事业瞬间遭受重大损失的就是击沉某艘在公海开始海天盛宴迷乱活动的船
    使用道具 举报 回复
    发表于 2017-5-13 11:38:40
    作为一个脚本小子,我很敬佩能写出病毒的大佬!
    无论这次攻击是否偶然,针对中国大面积的教育网,发生在我国一带一路期间,确实很让人遐想连篇!
    比特币一路飙升←_←
    据说,这次针对windows的445端口的病毒,只是前几年某病毒的变种,只是针对了445端口,导致出现需要输入key才能解锁,而这个key是掌握在某某人手里,个人觉得,跑key就放弃吧!
    一带一路的壮举,安全人员都在维护政府和企业的官网,所以相对教育事业并没有关注,而且,对于企业本身来说,用windows服务器的并不多,都是小企业!而且最近加大了政府官网的维护,一天24小时监控!
    被攻击无非就是教育事业相对薄弱,没有意识。
    360大概需要两天吧,来分析病毒样本!
    使用道具 举报 回复
    初步看了一下样本表示攻击者活儿做得挺全的,不仅加密文件还删还原点,最贴心的是连Tor工具都已经准备好了,所以中招的也别想着还原了。。。
    btw,想玩儿病毒的选手们记得进虚拟机,打好快照,关共享文件夹,断掉虚拟机网络再开搞。别准备好截图工具想双击666结果VMware一关发现自己电脑的桌面也黑了还以为是虚拟机穿透就尴尬了。
    使用道具 举报 回复
    细心 来自手机 i春秋作家 i春秋吹牛党 核心白帽 i春秋签约作者
    沙发
    发表于 2017-5-13 11:11:50
    看来  安全,研究所,不会失业,要不,都得失业。哈哈哈
    使用道具 举报 回复
    发表于 2017-5-13 11:15:38
    本帖最后由 酷帥王子 于 2017-5-13 11:32 编辑

    老夫修补漏洞,那就是一梭子下去,开启防火墙,配置出站规则拒绝445端口连接,安装360套装,打补丁,就这么牛逼,没错就这么牛逼,让外国佬来勒索我,
    使用道具 举报 回复
    发表于 2017-5-13 11:50:19
    其实叶师傅 已经给出了一些预防措施了
    使用道具 举报 回复
    发表于 2017-5-13 12:00:10
    学习学习
    使用道具 举报 回复
    首先,先纪念一下512遇难者,再者,请允许我用一个吃惊的表情
    使用道具 举报 回复
    发表于 2017-5-13 12:16:30
    顿时检测了下,还好没病毒
    使用道具 举报 回复
    发表于 2017-5-13 12:17:34
    还在睡觉的时候群里以及吵翻了,这次影响确实挺大的。
    不过某种意义上来说也是算是件好事,我看到很多从来不care病毒、网络安全的童鞋也关心起来,毕竟关系到自己的上网安全。算是做了一次科普活动。
    请叫我加固工程师
    使用道具 举报 回复
    发表于 2017-5-13 12:37:19
    [cp]#web安全# 分析完病毒后发现没什么卵用,这个人用的是名为“永恒之蓝”的漏洞,这个漏洞官方已经给出了补丁,被入侵的人都是因为没有安装补丁且不经大脑就点击病毒弹窗的人。最后说到底还是大家没有防范的问题,,,,,唉。。。我们不管在努力修补漏洞也改变不了你们的防范意识,被入侵能怪谁呢[摊手] ​​​[/cp]
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册