作者whiteD (悠闲自在...)
看板AntiVirus
标题[情报]cerber勒索软体
时间Wed May 17 00:19:08 2017
近期因为 WannaCry 太夯了,导致公司大头们都相当紧张,
虽然小弟跟大夥保证,公司绝对没问题,不用担心
但是大家还是一副草木皆兵的样子,只要有发生电脑有状况
就一定要最高规格处理,连分公司有状况都要去看...
不过,却意外发现最近公司内部接连发生档案被加密,但没被勒索
想当然耳,当然是中了勒索,只不过对外连线目的端的中继站被FW挡了
所以同仁接收不到勒索汇款的画面。
被加密的档案副档名均变更为16进位,看起来就等於4位数的英数字
详查evenlog,可以发现中标的源头为随身碟,里面有个脚本档.hta(隐藏档)
应该为cerber勒索软体的变种,凶手随身碟均有被带回家使用,所以无法确实追查源头
给大家参考,也请教各位先进,这可能是上了哪些网站论坛而中标?要拿来宣导使用。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.230.52.34
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494951551.A.27F.html
1F:→ gwofeng: 可以提供下样本吗,随身碟型的勒索病毒实在罕见 05/17 00:20
2F:→ gwofeng: 那个hta应该是勒索说明档而已,cerber一向都是加密完就 05/17 00:29
3F:→ gwofeng: 自杀,很难想像会从中毒的电脑移居到随身碟去暴露自己的 05/17 00:30
4F:→ gwofeng: 本体 05/17 00:30
可恶,被大大说中了,因为有个TXT说明档,而且.hta是隐藏档,所以以为是本体
结果刚刚抽空去看,也还是说明档,伤心...
5F:推 coyoteY: 如果发展成APT攻击,这根本是很难防..要锁掉USB惹 05/17 00:35
6F:推 Sich: 想趁机问一下各位大大,除了物理封锁usb槽,有什麽有效控制u 05/17 00:54
7F:→ Sich: sb装置的方法? 05/17 00:54
8F:推 Sich: 小的公司对外算得上很周全(因为4年前有被攻击到整个系统崩 05/17 00:56
9F:→ Sich: 溃一个月)可是对内我感觉还是跟纸糊的没什麽两样... 05/17 00:56
小弟我也觉得很困难
10F:推 idunhav1: sandboxie? 05/17 01:02
11F:→ IDfor2010: 提示框是最近版才有的 之前的没有提示框 似乎是txt文档 05/17 01:24
12F:→ IDfor2010: 或是有另一个要你点开看的档案 这病毒越来越人性化了 05/17 01:25
13F:推 verdandy: 因为不人性就勒索不到钱,现在勒索软体有多国语言 05/17 02:06
14F:→ verdandy: 有换比特币教学,还有客服信箱就是希望能确实收到赎金 05/17 02:07
15F:推 peterh05: AD、防毒、资产软体都可以控管USB 05/17 07:43
16F:推 erik777: 病毒加密完就自杀是为啥? 怕反组译解出密码? 05/17 08:04
17F:推 Klauhal: 减少被拉出来当样本玩的机率 05/17 08:11
18F:→ Klauhal: 不过只要在加密完成前拉出来就变成样本了... 05/17 08:12
※ 编辑: whiteD (210.241.4.253), 05/17/2017 08:21:27
19F:推 po77916: 把病毒抓来玩 听起来有点变态..难怪病毒要自杀 05/17 11:30
20F:推 gary5034: 要防止USB 要不要参考一下国军小企鹅XD 05/17 11:44
21F:推 erxx2002: 专业的阿宅 05/17 12:18
22F:→ kondoyu: 病毒会自杀很正常啊 你看看女忍者被抓到的下场 05/17 13:28
23F:推 F16V: 现在有对魔忍病毒吗 05/17 13:50
※ 编辑: whiteD (210.241.4.253), 05/17/2017 14:11:25
24F:→ modkk: 对楼上的讲法感到兴奋 05/17 19:08
25F:推 StrikeBee: 勒索病毒拟人化出本子,想想就硬了 05/17 23:46
26F:推 AprilE98: 楼怎麽歪成这样... 05/18 00:16
27F:推 weiyilan: 咕杀病毒,此处应有本 05/18 05:43
28F:→ LOVEMS: 有些大企业会禁USB,顶多开少数电脑专门供USB使用,不这 05/18 10:45
29F:→ LOVEMS: 样作就搞死IT/MIS而已 05/18 10:45