作者peter7910162 (小P熊)
看板AntiVirus
标题[求救] 最新型勒索SCORP病毒(更新07/23)
时间Wed Jul 19 00:54:02 2017
刚刚远端公司电脑想说要来办公一些事情
结果GG
中了最新没看过的勒索SCORP病毒
全都被加密了,无言了!!
身为公司MIS,我看我明天有的忙了..........
http://i.imgur.com/EDYoJBQ.png
http://i.imgur.com/XAYHG8V.png
http://i.imgur.com/xTCs9ye.png
http://i.imgur.com/TebZkg4.png
----------07/19更新---------
写信询问解密要多少钱
结果要2 BTC
http://i.imgur.com/6lujWnZ.png
防毒有侦测到却还会中!!!
http://i.imgur.com/RtDDSLh.png
-----
Sent from JPTT on my Xiaomi Mi Note 2.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.118.120.56
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1500396844.A.838.html
1F:→ KevinYu0504: ESET 企业版没有挡下? 07/19 04:23
2F:→ KevinYu0504: 这下子身为 MIS 可真的得头痛好段时间了 07/19 04:24
3F:推 yangzhe: 这款也是主动式入侵的?(估狗不太到相关资讯...) 07/19 05:34
4F:→ peter7910162: 我GOOGLE不太到相关消息,看来是蛮新的,昨天总经理 07/19 07:31
5F:→ peter7910162: 电脑先中,结果晚上6点多被加密换我的电脑中 07/19 07:31
6F:推 Klauhal: Win7 SMB1? 07/19 07:47
我的电脑都会固定更新作业软体是win7 sp1
7F:推 abramtw: Google後发现竟然只有这一篇回报这只新病毒 07/19 08:23
惨,在这公司担任MIS这次是第三次中勒索,每次中都不一样
8F:推 godchildtw: 很多企业无脑老板认为电脑没出什麽问题还要养MIS不值 07/19 09:14
9F:→ godchildtw: 得,偶尔出一点小包,MIS有点事情做才会觉得有被需要 07/19 09:16
10F:推 yangzhe: Mobile01上那篇应该也是原po回报的吧?如果是这样,那目 07/19 09:19
11F:→ yangzhe: 真的只有原po会报这只病毒...(怕) 07/19 09:19
12F:→ yangzhe: 而且2比特币也太贵了吧 07/19 09:20
是的,mobile01那篇是我发文的
13F:推 godchildtw: 先试试档案救援软体,找被删除档案救回看内容是否正确 07/19 09:20
无解,我试着还原点,刚好我的桌面资料都放在d槽没有还原点可以还原....
14F:推 david7928: 这只要2比特币?这麽贵一般人不会付钱吧? 07/19 09:22
放弃阿哪有可能付款
15F:推 lovensr: 我公司是中aleta这个副档名的勒索..... 07/19 10:20
16F:推 abramtw: 会不会是你们内部员工写的 07/19 10:52
17F:→ abramtw: 只勒索一家公司 怎麽想都很怪 07/19 10:53
应该不太可能,mobile01有位网友回报
18F:推 yangzhe: Aleta的话是今年7月初开始的,对岸满多机关中招 07/19 10:57
19F:推 Joba07: 请问中奖的电脑共同特徵是?Win7 smb1开啓? 07/19 11:03
我公司常用档案分享,所以应该是有开
20F:推 chang0206: 中三次勒索病毒? 07/19 11:11
YES
做一个总结
刚刚打电话询问防毒软体厂商
第一次侦测到是在下午5:40分被侦测,所以档案没有被加密
但是我的档案备加密是在下午6:35分左右被加密
代表勒索病又变种可以躲过nod32侦测,nod32没有办法防护
到了隔天12:36分,nod32才侦测出病毒
代表此勒索病毒是主动型攻击型态
所以请大家注意一下!!!
21F:推 vi000246: 防毒侦测到的是中毒完後产生的付款教学文件 07/19 11:47
是的,防毒侦测是付款说明网页!!!
※ 编辑: peter7910162 (59.120.231.205), 07/19/2017 11:59:26
22F:→ Kennyq: 有点规模的公司每天都会有资料备份,没备根本是自杀 07/19 17:49
23F:→ Kennyq: 不要说2比特币,0.0002比特币我都不会付 07/19 18:07
24F:推 Joba07: 有防火墙加防毒软体还是被攻入 是直接穿透防火墙还是网内 07/19 18:27
25F:→ Joba07: 的电脑先有被开後门(例如总经理那台PC?) 07/19 18:28
26F:推 NeoBelfort: 有传id ransomware查是哪家的变种吗? 建议未来装 app 07/20 03:11
27F:→ NeoBelfort: check或 comodo.卡巴有hips+防火墙的组合 07/20 03:11
28F:推 NeoBelfort: email看起来是wallet的变种 他通常出下个变种前会释出 07/20 03:19
29F:→ NeoBelfort: 主钥 能等就等 07/20 03:19
大大是变种的GlobeImposter 2.0
https://id-ransomware.malwarehunterteam.com/identify.php?case=9c5cffe9a3aa29ab452fad0fc559f74c86ce406c
※ 编辑: peter7910162 (59.120.231.205), 07/20/2017 08:44:29
30F:推 H264: ESET看来真的不要用 感谢情报提供 07/20 16:26
31F:推 NeoBelfort: 这种似乎不会放出主钥 攻击以RDP为主 钓鱼漏洞为辅 所 07/20 22:56
32F:→ NeoBelfort: 以企业很容易中 07/20 22:56
33F:推 go1717: 0day?这价值可高了... 07/21 21:16
更新:07/22
网路查询
此勒索是透过远端漏洞攻击!!!
请各位注意!!!
https://support.emsisoft.com/topic/27337-globeimposter-20-infection/
今天跟客服杀价变成1 BTC
http://i.imgur.com/a5BHBGl.png
※ 编辑: peter7910162 (122.118.143.109), 07/22/2017 20:41:13
34F:推 coyoteY: 还能杀价~真人性化 07/22 21:26
35F:推 abram: 看起来是至少要安装windows的六月更新才能防范 07/23 10:05
36F:推 nk950357: 是用什麽远端软体阿 07/23 15:54
37F:推 tswu8: 原Po有定时更新,所以是email钓鱼中的? 07/23 19:48
我有定期win更新,但是没更新到六月份,这次会中奖是透过内建远端侵入中奖!!!我很少收EMAIL的
※ 编辑: peter7910162 (122.118.142.81), 07/23/2017 21:02:10
38F:推 tswu8: 所以是要安装KB4022726 07/23 23:12
39F:推 tswu8: 吗?可是这搜寻不适用Win 7 07/24 08:46
六月份释出更新只有一项没更新到
40F:推 DINJIAPC: Eset的hips是传统手动型 规则与排除要下功夫 07/25 15:50
41F:→ angelmask: 请问楼主怎麽确定是透过远端入侵的? 07/25 16:21
我上网爬文一下,是说用远端入侵的...
※ 编辑: peter7910162 (122.118.164.142), 07/26/2017 21:25:33