作者mayuyu ((・ω・)ノ)
看板AntiVirus
标题Re: [心得] 两天内家里两台电脑都被勒索
时间Sun Apr 30 18:50:15 2017
原PO的Windows有没有做更新?
上个月3/14日微软修补了一系列很重要的安全性更新,
其中包括MS17-010的SMB漏洞,
这个漏洞有现成打包好的工具可以扫描网路上的主机,
只要发现对方的port 445是开着并且没有打补丁,
就可以利用SMB的漏洞入侵电脑放置木马,
现在有很多人利用这个工具在网路上扫描,寻找可以攻击的对象。
被攻击的电脑有可能当机蓝画面或重开机,
入侵後可以放挖矿程式,可以放勒索,可以创建新帐户,甚至远端控制电脑,
如果被拿到整个系统的掌控权,防毒就等於完全没有作用。
WIN10因为这个漏洞覆盖的记忆体区段是不可执行的,
因此无法利用这个漏洞进行攻击,躲过一劫。
所以有重大的安全性更新的话,一定要记得打补丁,
如果三月的时候有做安全性更新,或者有防火墙封锁445,
或者电脑没有拿实体IP,就不会受到影响。
新闻报导
超过3万台PC被植入NSA攻击工具DoublePulsar,台湾受害数量名列第3
http://www.ithome.com.tw/news/113667
DoublePulsar灾情扩大至少12万台PC失守
http://www.ithome.com.tw/news/113704
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.41
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1493549419.A.8F4.html
1F:→ Adven: windows内建的防火墙 可以针对445来做封锁吗? 04/30 19:45
2F:→ Adven: 有的网站提到可以关网芳或是其他设定来因应 04/30 19:58
3F:→ mayuyu: 有做系统更新就不会有事 不用特别去改防火墙 04/30 22:57
4F:推 superrockman: 完蛋 我的系统很久没更新了 最近想更新都没办法 05/01 00:19
5F:→ superrockman: 错误C0000022 不过我还没受害就是(防火墙有开 防毒 05/01 00:19
6F:→ superrockman: 跟ADBLOCK PLUS都有作用跟更新) 05/01 00:20
7F:推 DINJIAPC: 请用dism++去强装更新档 05/01 01:57
8F:推 j790822: 请问有更新档案编号吗?太多更新档案,想先针对3/14的更 05/01 03:07
9F:→ j790822: 新 05/01 03:07
10F:推 Joba07: Win7 KB4012212 Win8.1 KB4012213 Win10 1607 KB4013429 05/01 03:27
12F:→ Joba07: 改成相对应OS的kb编号即可 自己下载适合的档案 05/01 03:30
13F:推 kenick: 推楼上 现在离线更新包很方便的 05/01 10:17
14F:→ kenick: 另外询问 如果只装了4月份的安全性更新 有包含这个3月份 05/01 10:23
15F:→ kenick: 的修正吗? 05/01 10:23
16F:推 j790822: 感谢Joba, 正在烦恼不想接网路连线更新…! 05/01 10:50
17F:推 nekoOAO: 想请问一下KB4012215是不是和KB4012212的内容是一样的@@? 05/01 11:12
18F:→ Adven: 感谢Joba07 05/01 12:16
20F:推 Joba07: 4012215是三月的更新包 2212只有单独一个更新 05/01 12:46
21F:推 Joba07: 就是MS17-010的SMB漏洞的更新 05/01 12:50
22F:推 kenick: 请问J大 如果是只装了4月的有包含3月的SMB漏洞更新吗? 05/01 12:56
23F:推 Joba07: 对 只要装2215 就不用装2212了 05/01 13:07
24F:→ Joba07: 喔 四月跟三月应该是分开的 这我不确定 05/01 13:08
25F:→ mayuyu: 四月和三月是分开的 05/01 13:23
26F:→ mayuyu: 每个月的安全性品质汇总套件修补的是不一样的漏洞 05/01 13:24
27F:→ mayuyu: 最好安装整个安全性更新包(安全性品质汇总套件) 05/01 13:24
28F:→ mayuyu: 不要只安装MS17-010的修正 05/01 13:24
29F:→ mayuyu: 因为三月修复的高危漏洞不只MS17-010 05/01 13:24
30F:→ mayuyu: 网上流传的攻击工具包也可以利用三月的其他漏洞进行攻击 05/01 13:24
31F:→ mayuyu: 只是SMB漏洞是当中最严重的 但是其他漏洞也还是要补比较好 05/01 13:25
32F:→ mayuyu: 建议每个月的安全性更新都一定要安装 05/01 13:25
33F:→ mayuyu: 尤其是有标明「重大」的安全性更新 05/01 13:25
34F:→ mayuyu: 每次大规模的攻击开始流行 05/01 13:26
35F:→ mayuyu: 通常都发生在这种重大的漏洞修补之後 05/01 13:26
36F:→ mayuyu: 例如之前大流行的Yahoo广告勒索病毒 利用的Flash漏洞 05/01 13:26
37F:→ mayuyu: 也是在一个半月之前Adobe就已经发布安全性修正 05/01 13:26
38F:→ mayuyu: 如果有按时进行安全性更新 05/01 13:27
39F:→ mayuyu: 就比较不会受到这种跟流行的漏洞攻击 05/01 13:27
40F:→ mayuyu: (大家都知道有这漏洞了 还有现成工具 每个人都想试试 05/01 13:27
41F:→ mayuyu: 所以变成一种流行) 05/01 13:28
42F:推 koihime: 我点了KB4012215的Package Details,他写说: 05/01 13:35
43F:→ koihime: This update has been replaced by the following update 05/01 13:35
44F:→ koihime: 然後给了4月份的KB4015549的连结,看起来应该是四月的 05/01 13:36
45F:→ koihime: 就有包含三月份的更新? 05/01 13:36
47F:推 nekoOAO: OK感谢各位大大! 05/01 13:59
48F:→ mayuyu: 我看了一下说明 现在更新包分为二种 05/01 14:27
49F:→ mayuyu: 以WIN7为例 WIN7的三月安全性更新包有二种 05/01 14:27
50F:→ mayuyu: 1. 仅限安全性品质更新 (KB4012212) 05/01 14:28
51F:→ mayuyu: 2. 每月安全性品质汇总套件 (KB4012215) 05/01 14:28
52F:→ mayuyu: 仅限安全性品质更新 -> 只包含当月(三月)的所有安全性更新 05/01 14:28
53F:→ mayuyu: 每月安全性品质汇总套件 -> 除了三月的安全性更新, 05/01 14:28
54F:→ mayuyu: 还包括过去每月的安全性和非安全性的更新。 05/01 14:28
55F:→ mayuyu: 因此三月的「汇总套件」(KB4012215) 05/01 14:29
56F:→ mayuyu: 也包含了一月的「汇总套件」(KB3212646)所有的更新。 05/01 14:29
57F:→ mayuyu: 所以如果安装四月的「每月安全性品质汇总套件」(KB4015549 05/01 14:29
58F:→ mayuyu: 也会包含三月的所有安全性更新。 05/01 14:30
59F:→ mayuyu: 如果不放心,也可以先装三月的汇总套件, 05/01 14:30
60F:→ mayuyu: 再安装四月的汇总套件, 05/01 14:30
61F:→ mayuyu: Windows Update每个月的自动更新也是这样安装的 05/01 14:30
62F:→ mayuyu: 三月的时候装KB4012215 四月的时候再装KB4015549 05/01 14:30
63F:→ mayuyu: 每个月更新的时候都是下载和安装汇总套件 05/01 14:31
64F:推 kenick: 收到 感谢m大热心解说 我是安装4月的汇总套件 05/01 14:43
65F:→ kenick: 这样没问题了 再次谢谢m大 05/01 14:44
66F:推 kesdoputr: 想请教一下,我google了一下想把SMB关了,参考这篇 05/01 15:08
68F:→ kesdoputr: 打netstat -an看到445还是在listening,请问要怎麽关 05/01 15:10
69F:→ Adven: Step2的动作与微软教学同 所以都用了就先安心吧(茶) 05/01 15:20
70F:推 louie83279: 上星期突然电脑有跳一次蓝屏,虽然昨天装了更新档但 05/01 17:26
71F:→ louie83279: 还是好怕啊 05/01 17:26
72F:推 koihime: 昨天看影片到一半电脑跳出lsass错误重开 05/01 17:48
73F:→ koihime: 然後发现有wuauser.exe、msiexev.exe,目前都干掉然後 05/01 17:49
74F:→ koihime: 四月份更新包打上去,不知道还会不会再出问题@_@ 05/01 17:49
75F:→ mayuyu: 被SMB漏洞攻击的电脑有可能因此发生蓝屏或重开机 05/01 17:50
76F:→ mayuyu: 所以有些人是睡一觉起来发现电脑自己重开机了 05/01 17:50
77F:→ mayuyu: 蓝屏或重开机是攻击产生的副作用 不是攻击者目的 05/01 17:50
78F:→ mayuyu: 攻击者的目的是上传payload 通常是dll 05/01 17:50
79F:→ koihime: 档案看起来目前是没事不过还是先备份随时作好重灌准备 05/01 17:50
80F:→ mayuyu: 注入目标程序後下载其他木马或恶意软体 05/01 17:50
81F:→ mayuyu: 微软的更新是修补这个漏洞 05/01 17:50
82F:→ mayuyu: 在受到攻击前把这个漏洞补起来 05/01 17:50
83F:→ mayuyu: 如果系统已经遭受过这个漏洞攻击 05/01 17:51
84F:→ mayuyu: 并且已经被植入其他的木马或恶意软体 05/01 17:51
85F:→ mayuyu: 这个更新并不能移除被安装的木马或後门 05/01 17:51
86F:→ mayuyu: 也不能修复已经受损的系统 05/01 17:51
87F:→ koihime: 希望只是被放个挖矿没有被埋勒索进去 05/01 17:51
88F:→ koihime: wuauser.exe、msiexev.exe这两个的话有哪套免费的推荐吗 05/01 17:53
89F:→ louie83279: 最挫的是,我不懂到底是真的受到攻击还是电脑太旧设 05/01 17:53
90F:→ louie83279: 备异常跳蓝屏=皿= 05/01 17:53
91F:→ koihime: 本来是只有用内建的windows defender 05/01 17:53
92F:→ Adven: 小红伞可以抓到wuauser与msiexev 不过我是自己在安全模式下 05/01 19:09
93F:→ Adven: 删除的 05/01 19:09
94F:推 baaad: 我也照着kesdoputr分享的网页做,做完重开机netstat -an 05/01 19:48
95F:→ baaad: 445还是listening >"< 05/01 19:49
96F:→ qama: 请问WIN7下载KB4012212 x64安装出现0x80240037是甚麽意思呢? 05/01 19:51
98F:→ skill1095: 此网址可以侦测有没有doublepulsar 05/01 20:20
99F:推 kuranado: 请教一下,如果没有蓝屏或者重开机现象,是否表示没 05/01 20:43
100F:→ kuranado: 有感染到,或者还有其他方式查询是否中奖,如出现不该 05/01 20:43
101F:→ kuranado: 有的资料夹或者某档名,现在才看到此问题,赶紧下载 05/01 20:43
102F:→ kuranado: 3月份的更新,谢谢。 05/01 20:43
103F:推 a4567850: 勒索病毒并不一定会有蓝屏和重开机现象 05/01 21:22
104F:→ a4567850: 我的2台电脑就是用到一半时直接开始档案被加密乱码 05/01 21:23
105F:推 koihime: 上头给的网页测了写NO DOUBLEPULSAR Implant Detected 05/01 22:05
106F:→ koihime: 再观察看看...这次这洞感觉就是好一点被放挖矿黑一点 05/01 22:06
107F:→ koihime: 就直接被放勒索的fu... 05/01 22:06
108F:推 laxii: 请问电脑是 ip 192.168.1.xxx 就不会中主动式的勒索病毒吗? 05/04 16:49