Re: [心得] 兩天內家裡兩台電腦都被勒索

作者mayuyu ((・ω・)ノ)

看板AntiVirus

標題Re: [心得] 兩天內家裡兩台電腦都被勒索

時間Sun Apr 30 18:50:15 2017

原PO的Windows有沒有做更新？上個月3/14日微軟修補了一系列很重要的安全性更新，其中包括MS17-010的SMB漏洞，這個漏洞有現成打包好的工具可以掃描網路上的主機，只要發現對方的port 445是開著並且沒有打補丁，就可以利用SMB的漏洞入侵電腦放置木馬，現在有很多人利用這個工具在網路上掃描，尋找可以攻擊的對象。被攻擊的電腦有可能當機藍畫面或重開機，入侵後可以放挖礦程式，可以放勒索，可以創建新帳戶，甚至遠端控制電腦，如果被拿到整個系統的掌控權，防毒就等於完全沒有作用。 WIN10因為這個漏洞覆蓋的記憶體區段是不可執行的，因此無法利用這個漏洞進行攻擊，躲過一劫。所以有重大的安全性更新的話，一定要記得打補丁，如果三月的時候有做安全性更新，或者有防火牆封鎖445，或者電腦沒有拿實體IP，就不會受到影響。新聞報導超過3萬台PC被植入NSA攻擊工具DoublePulsar，台灣受害數量名列第3 http://www.ithome.com.tw/news/113667 DoublePulsar災情擴大至少12萬台PC失守 http://www.ithome.com.tw/news/113704 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.41 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1493549419.A.8F4.html

→ Adven: windows內建的防火牆可以針對445來做封鎖嗎? 04/30 19:45

→ Adven: 有的網站提到可以關網芳或是其他設定來因應 04/30 19:58

→ mayuyu: 有做系統更新就不會有事不用特別去改防火牆 04/30 22:57

推 superrockman: 完蛋我的系統很久沒更新了最近想更新都沒辦法 05/01 00:19

→ superrockman: 錯誤C0000022 不過我還沒受害就是(防火牆有開防毒 05/01 00:19

→ superrockman: 跟ADBLOCK PLUS都有作用跟更新) 05/01 00:20

推 DINJIAPC: 請用dism++去強裝更新檔 05/01 01:57

推 j790822: 請問有更新檔案編號嗎？太多更新檔案，想先針對3/14的更 05/01 03:07

→ j790822: 新 05/01 03:07

推 Joba07: Win7 KB4012212 Win8.1 KB4012213 Win10 1607 KB4013429 05/01 03:27

→ Joba07: http://tinyurl.com/ln68e3k 這是 Win7 把網址後面?q=kb 05/01 03:30

→ Joba07: 改成相對應OS的kb編號即可自己下載適合的檔案 05/01 03:30

推 kenick: 推樓上現在離線更新包很方便的 05/01 10:17

→ kenick: 另外詢問如果只裝了4月份的安全性更新有包含這個3月份 05/01 10:23

→ kenick: 的修正嗎? 05/01 10:23

推 j790822: 感謝Joba，正在煩惱不想接網路連線更新…！ 05/01 10:50

推 nekoOAO: 想請問一下KB4012215是不是和KB4012212的內容是一樣的@@? 05/01 11:12

→ Adven: 感謝Joba07 05/01 12:16

→ exalice: https://goo.gl/gqHtXk 請問這家的更新包可用嗎? 05/01 12:20

推 Joba07: 4012215是三月的更新包 2212只有單獨一個更新 05/01 12:46

推 Joba07: 就是MS17-010的SMB漏洞的更新 05/01 12:50

推 kenick: 請問J大如果是只裝了4月的有包含3月的SMB漏洞更新嗎? 05/01 12:56

推 Joba07: 對只要裝2215 就不用裝2212了 05/01 13:07

→ Joba07: 喔四月跟三月應該是分開的這我不確定 05/01 13:08

→ mayuyu: 四月和三月是分開的 05/01 13:23

→ mayuyu: 每個月的安全性品質彙總套件修補的是不一樣的漏洞 05/01 13:24

→ mayuyu: 最好安裝整個安全性更新包(安全性品質彙總套件) 05/01 13:24

→ mayuyu: 不要只安裝MS17-010的修正 05/01 13:24

→ mayuyu: 因為三月修復的高危漏洞不只MS17-010 05/01 13:24

→ mayuyu: 網上流傳的攻擊工具包也可以利用三月的其他漏洞進行攻擊 05/01 13:24

→ mayuyu: 只是SMB漏洞是當中最嚴重的但是其他漏洞也還是要補比較好 05/01 13:25

→ mayuyu: 建議每個月的安全性更新都一定要安裝 05/01 13:25

→ mayuyu: 尤其是有標明「重大」的安全性更新 05/01 13:25

→ mayuyu: 每次大規模的攻擊開始流行 05/01 13:26

→ mayuyu: 通常都發生在這種重大的漏洞修補之後 05/01 13:26

→ mayuyu: 例如之前大流行的Yahoo廣告勒索病毒利用的Flash漏洞 05/01 13:26

→ mayuyu: 也是在一個半月之前Adobe就已經發佈安全性修正 05/01 13:26

→ mayuyu: 如果有按時進行安全性更新 05/01 13:27

→ mayuyu: 就比較不會受到這種跟流行的漏洞攻擊 05/01 13:27

→ mayuyu: (大家都知道有這漏洞了還有現成工具每個人都想試試 05/01 13:27

→ mayuyu: 所以變成一種流行) 05/01 13:28

推 koihime: 我點了KB4012215的Package Details，他寫說： 05/01 13:35

→ koihime: This update has been replaced by the following update 05/01 13:35

→ koihime: 然後給了4月份的KB4015549的連結，看起來應該是四月的 05/01 13:36

→ koihime: 就有包含三月份的更新？ 05/01 13:36

推 koihime: https://i.imgur.com/MXQnv6r.jpg 05/01 13:40

推 nekoOAO: OK感謝各位大大！ 05/01 13:59

→ mayuyu: 我看了一下說明現在更新包分為二種 05/01 14:27

→ mayuyu: 以WIN7為例 WIN7的三月安全性更新包有二種 05/01 14:27

→ mayuyu: 1. 僅限安全性品質更新 (KB4012212) 05/01 14:28

→ mayuyu: 2. 每月安全性品質彙總套件 (KB4012215) 05/01 14:28

→ mayuyu: 僅限安全性品質更新 -> 只包含當月(三月)的所有安全性更新 05/01 14:28

→ mayuyu: 每月安全性品質彙總套件 -> 除了三月的安全性更新， 05/01 14:28

→ mayuyu: 還包括過去每月的安全性和非安全性的更新。 05/01 14:28

→ mayuyu: 因此三月的「彙總套件」(KB4012215) 05/01 14:29

→ mayuyu: 也包含了一月的「彙總套件」(KB3212646)所有的更新。 05/01 14:29

→ mayuyu: 所以如果安裝四月的「每月安全性品質彙總套件」(KB4015549 05/01 14:29

→ mayuyu: 也會包含三月的所有安全性更新。 05/01 14:30

→ mayuyu: 如果不放心，也可以先裝三月的彙總套件， 05/01 14:30

→ mayuyu: 再安裝四月的彙總套件， 05/01 14:30

→ mayuyu: Windows Update每個月的自動更新也是這樣安裝的 05/01 14:30

→ mayuyu: 三月的時候裝KB4012215 四月的時候再裝KB4015549 05/01 14:30

→ mayuyu: 每個月更新的時候都是下載和安裝彙總套件 05/01 14:31

推 kenick: 收到感謝m大熱心解說我是安裝4月的彙總套件 05/01 14:43

→ kenick: 這樣沒問題了再次謝謝m大 05/01 14:44

推 kesdoputr: 想請教一下，我google了一下想把SMB關了，參考這篇 05/01 15:08

→ kesdoputr: http://tinyurl.com/mm852bp，不過我都用了以後重開機 05/01 15:08

→ kesdoputr: 打netstat -an看到445還是在listening，請問要怎麼關 05/01 15:10

→ Adven: Step2的動作與微軟教學同所以都用了就先安心吧(茶) 05/01 15:20

推 louie83279: 上星期突然電腦有跳一次藍屏，雖然昨天裝了更新檔但 05/01 17:26

→ louie83279: 還是好怕啊 05/01 17:26

推 koihime: 昨天看影片到一半電腦跳出lsass錯誤重開 05/01 17:48

→ koihime: 然後發現有wuauser.exe、msiexev.exe，目前都幹掉然後 05/01 17:49

→ koihime: 四月份更新包打上去，不知道還會不會再出問題@_@ 05/01 17:49

→ mayuyu: 被SMB漏洞攻擊的電腦有可能因此發生藍屏或重開機 05/01 17:50

→ mayuyu: 所以有些人是睡一覺起來發現電腦自己重開機了 05/01 17:50

→ mayuyu: 藍屏或重開機是攻擊產生的副作用不是攻擊者目的 05/01 17:50

→ mayuyu: 攻擊者的目的是上傳payload 通常是dll 05/01 17:50

→ koihime: 檔案看起來目前是沒事不過還是先備份隨時作好重灌準備 05/01 17:50

→ mayuyu: 注入目標程序後下載其他木馬或惡意軟體 05/01 17:50

→ mayuyu: 微軟的更新是修補這個漏洞 05/01 17:50

→ mayuyu: 在受到攻擊前把這個漏洞補起來 05/01 17:50

→ mayuyu: 如果系統已經遭受過這個漏洞攻擊 05/01 17:51

→ mayuyu: 並且已經被植入其他的木馬或惡意軟體 05/01 17:51

→ mayuyu: 這個更新並不能移除被安裝的木馬或後門 05/01 17:51

→ mayuyu: 也不能修復已經受損的系統 05/01 17:51

→ koihime: 希望只是被放個挖礦沒有被埋勒索進去 05/01 17:51

→ koihime: wuauser.exe、msiexev.exe這兩個的話有哪套免費的推薦嗎 05/01 17:53

→ louie83279: 最挫的是，我不懂到底是真的受到攻擊還是電腦太舊設 05/01 17:53

→ louie83279: 備異常跳藍屏=皿= 05/01 17:53

→ koihime: 本來是只有用內建的windows defender 05/01 17:53

→ Adven: 小紅傘可以抓到wuauser與msiexev 不過我是自己在安全模式下 05/01 19:09

→ Adven: 刪除的 05/01 19:09

推 baaad: 我也照著kesdoputr分享的網頁做，做完重開機netstat -an 05/01 19:48

→ baaad: 445還是listening >"< 05/01 19:49

→ qama: 請問WIN7下載KB4012212 x64安裝出現0x80240037是甚麼意思呢? 05/01 19:51

推 skill1095: https://doublepulsar.below0day.com/ 05/01 20:19

→ skill1095: 此網址可以偵測有沒有doublepulsar 05/01 20:20

推 kuranado: 請教一下，如果沒有藍屏或者重開機現象，是否表示沒 05/01 20:43

→ kuranado: 有感染到，或者還有其他方式查詢是否中獎，如出現不該 05/01 20:43

→ kuranado: 有的資料夾或者某檔名，現在才看到此問題，趕緊下載 05/01 20:43

→ kuranado: 3月份的更新，謝謝。 05/01 20:43

推 a4567850: 勒索病毒並不一定會有藍屏和重開機現象 05/01 21:22

→ a4567850: 我的2台電腦就是用到一半時直接開始檔案被加密亂碼 05/01 21:23

推 koihime: 上頭給的網頁測了寫NO DOUBLEPULSAR Implant Detected 05/01 22:05

→ koihime: 再觀察看看...這次這洞感覺就是好一點被放挖礦黑一點 05/01 22:06

→ koihime: 就直接被放勒索的fu... 05/01 22:06

推 laxii: 請問電腦是 ip 192.168.1.xxx 就不會中主動式的勒索病毒嗎? 05/04 16:49