用户
搜索
  • TA的每日心情

    2017-5-17 14:58
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋作家

    我不是帅逼

    Rank: 7Rank: 7Rank: 7

    3

    主题

    79

    帖子

    403

    魔法币
    收听
    0
    粉丝
    5
    注册时间
    2016-11-16

    i春秋签约作者

    发表于 2017-5-13 11:56:32 136842
    二楼放出解决方法思路了。

    从昨天就看到有些大佬们在讨论爆发的勒索者病毒,其实在上周就有某个企业发现了其数据服务器被walllet勒索者病毒加密全盘的情况,

    本以为是个个例,结果这周就爆发了各大高校的毕设或者实验机器被勒索的事件。
    031300b7fr2fff7qr9hqbf.png
    虽然不是同一个病毒引起的,但是关于wallet病毒,卡巴斯基实验室还没有提供完善的解密方案,而现在流行于各个高校的是基于wallet的变种,onion。
    之所以这次传播这么大,很大一部分的利用方式从传统的弱口令变成了nsa的那个ms17-010这个漏洞。
    031320sc5k57d7ju6k5zf5.jpg
    所以说解决方法也从这里入手。但是并不代表着升级之后以后就不会在出现这个问题。
    这次公开的0day落到的勒索人的手里,就不保证会没有下一次,,,,,,,所以,360,该你上了。
    至于为什么在学校爆发这个,一个原因是目标面对可能是拥有毕设和实验测试的有价值目标,另一个就是教育网不屏蔽危险服务探测。
    只能有防范方法,解决方法等待国家队把
    1,升级系统,更新补丁
    2,安装杀毒软件,防火墙等,推荐科莫多
    3,增加安全防范意识。
    4,组策略关闭445,135,139,137,138.
    5,360防火墙还是安利一波,可以手动添加策略拦截。
    学校网络中心的建议
    1, 边界防火墙关闭来自外部445等危险端口的连接。
    2, 屏蔽内网危险服务的探测。

    火绒拦截规则更改后 032934xya6oa592z66g5ea.png

    附上大佬共享的病毒样本



    解压密码954623886
    请不要在本机打开,分析在虚拟机请断开网络。
    样本.zip (3.32 MB, 下载次数: 87)
    发表于 2017-5-13 12:12:37

    根据黑客收取btc来说,交易方式都是透明的,如果说私钥卡巴斯基没有收录的情况下,
    查询黑客的btc交易记录然后随便找一个交易的比特币字符串给黑客就行了,等待黑客验证(因为他也不知道这是谁支付的)
    然后解密就好了。
    关于高校比特币病毒 社工破解的可能性尝试:
    ---------------------------------------------------------------------------------------------------------------------------------------
    1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
    2:把copy粘贴到btc.com (区块链查询器)
    3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
    4:把txid 复制粘贴给 勒索软件界面按钮connect us.
    5:等黑客看到后 你再点击勒索软件上的check payment.
    6:再点击decrypt 解密文件即可。
    这段from 唐平
    一个来自四川高校的东北人
    www.8sec.cc
    使用道具 举报 回复
    发表于 2017-5-13 13:48:28
    使用道具 举报 回复
    发表于 2017-5-14 00:19:12
    没人继续测试了吗?
    一个来自四川高校的东北人
    www.8sec.cc
    使用道具 举报 回复
    发表于 2017-5-14 13:02:40
    有大神试过吗?
    使用道具 举报 回复
    神裤衩 来自手机 i春秋作家 我不是帅逼 i春秋签约作者
    5#
    发表于 2017-5-14 16:02:39
    sb中的sb 发表于 2017-5-14 05:02
    有大神试过吗?

    昨天刚刚看新闻的时候确实恢复了,
    使用道具 举报 回复
    发表于 2017-5-14 16:58:39
    解密结果如何?
    no pain no gain
    使用道具 举报 回复
    发表于 2017-5-14 18:17:59
    勒索软件运行完 会自动删除自身,那样本是怎么来的?
    no pain no gain
    使用道具 举报 回复
    解密结果呢? 不太可能能解密出来吧,这事AES加密的啊
    使用道具 举报 回复
    神裤衩 来自手机 i春秋作家 我不是帅逼 i春秋签约作者
    9#
    发表于 2017-5-14 22:19:43
    魔鬼筋肉人 发表于 2017-5-14 13:27
    解密结果呢? 不太可能能解密出来吧,这事AES加密的啊

    这是通过社工的方法,黑客也不知道谁给他付的比特币,拿别人付款记录来欺骗黑客点确认
    使用道具 举报 回复
    想要那个样本看看~
    使用道具 举报 回复
    神裤衩 发表于 2017-5-14 22:19
    这是通过社工的方法,黑客也不知道谁给他付的比特币,拿别人付款记录来欺骗黑客点确认 ...

    好的,我也研究下样本
    使用道具 举报 回复
    发表于 2017-5-15 10:57:36
    我直接在机房运行了这个病毒,嗯,很吊很强大。
    使用道具 举报 回复
    发表于 2017-5-15 10:59:23
    那个病毒一运行就删除本身加上了一些其他的文件,还会隐藏,不知道这2个后缀名是什么意思。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册