作者mayuyu ((・ω・)ノ)
看板AntiVirus
標題Re: [心得] 兩天內家裡兩台電腦都被勒索
時間Sun Apr 30 18:50:15 2017
原PO的Windows有沒有做更新?
上個月3/14日微軟修補了一系列很重要的安全性更新,
其中包括MS17-010的SMB漏洞,
這個漏洞有現成打包好的工具可以掃描網路上的主機,
只要發現對方的port 445是開著並且沒有打補丁,
就可以利用SMB的漏洞入侵電腦放置木馬,
現在有很多人利用這個工具在網路上掃描,尋找可以攻擊的對象。
被攻擊的電腦有可能當機藍畫面或重開機,
入侵後可以放挖礦程式,可以放勒索,可以創建新帳戶,甚至遠端控制電腦,
如果被拿到整個系統的掌控權,防毒就等於完全沒有作用。
WIN10因為這個漏洞覆蓋的記憶體區段是不可執行的,
因此無法利用這個漏洞進行攻擊,躲過一劫。
所以有重大的安全性更新的話,一定要記得打補丁,
如果三月的時候有做安全性更新,或者有防火牆封鎖445,
或者電腦沒有拿實體IP,就不會受到影響。
新聞報導
超過3萬台PC被植入NSA攻擊工具DoublePulsar,台灣受害數量名列第3
http://www.ithome.com.tw/news/113667
DoublePulsar災情擴大至少12萬台PC失守
http://www.ithome.com.tw/news/113704
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.41
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1493549419.A.8F4.html
1F:→ Adven: windows內建的防火牆 可以針對445來做封鎖嗎? 04/30 19:45
2F:→ Adven: 有的網站提到可以關網芳或是其他設定來因應 04/30 19:58
3F:→ mayuyu: 有做系統更新就不會有事 不用特別去改防火牆 04/30 22:57
4F:推 superrockman: 完蛋 我的系統很久沒更新了 最近想更新都沒辦法 05/01 00:19
5F:→ superrockman: 錯誤C0000022 不過我還沒受害就是(防火牆有開 防毒 05/01 00:19
6F:→ superrockman: 跟ADBLOCK PLUS都有作用跟更新) 05/01 00:20
7F:推 DINJIAPC: 請用dism++去強裝更新檔 05/01 01:57
8F:推 j790822: 請問有更新檔案編號嗎?太多更新檔案,想先針對3/14的更 05/01 03:07
9F:→ j790822: 新 05/01 03:07
10F:推 Joba07: Win7 KB4012212 Win8.1 KB4012213 Win10 1607 KB4013429 05/01 03:27
12F:→ Joba07: 改成相對應OS的kb編號即可 自己下載適合的檔案 05/01 03:30
13F:推 kenick: 推樓上 現在離線更新包很方便的 05/01 10:17
14F:→ kenick: 另外詢問 如果只裝了4月份的安全性更新 有包含這個3月份 05/01 10:23
15F:→ kenick: 的修正嗎? 05/01 10:23
16F:推 j790822: 感謝Joba, 正在煩惱不想接網路連線更新…! 05/01 10:50
17F:推 nekoOAO: 想請問一下KB4012215是不是和KB4012212的內容是一樣的@@? 05/01 11:12
18F:→ Adven: 感謝Joba07 05/01 12:16
20F:推 Joba07: 4012215是三月的更新包 2212只有單獨一個更新 05/01 12:46
21F:推 Joba07: 就是MS17-010的SMB漏洞的更新 05/01 12:50
22F:推 kenick: 請問J大 如果是只裝了4月的有包含3月的SMB漏洞更新嗎? 05/01 12:56
23F:推 Joba07: 對 只要裝2215 就不用裝2212了 05/01 13:07
24F:→ Joba07: 喔 四月跟三月應該是分開的 這我不確定 05/01 13:08
25F:→ mayuyu: 四月和三月是分開的 05/01 13:23
26F:→ mayuyu: 每個月的安全性品質彙總套件修補的是不一樣的漏洞 05/01 13:24
27F:→ mayuyu: 最好安裝整個安全性更新包(安全性品質彙總套件) 05/01 13:24
28F:→ mayuyu: 不要只安裝MS17-010的修正 05/01 13:24
29F:→ mayuyu: 因為三月修復的高危漏洞不只MS17-010 05/01 13:24
30F:→ mayuyu: 網上流傳的攻擊工具包也可以利用三月的其他漏洞進行攻擊 05/01 13:24
31F:→ mayuyu: 只是SMB漏洞是當中最嚴重的 但是其他漏洞也還是要補比較好 05/01 13:25
32F:→ mayuyu: 建議每個月的安全性更新都一定要安裝 05/01 13:25
33F:→ mayuyu: 尤其是有標明「重大」的安全性更新 05/01 13:25
34F:→ mayuyu: 每次大規模的攻擊開始流行 05/01 13:26
35F:→ mayuyu: 通常都發生在這種重大的漏洞修補之後 05/01 13:26
36F:→ mayuyu: 例如之前大流行的Yahoo廣告勒索病毒 利用的Flash漏洞 05/01 13:26
37F:→ mayuyu: 也是在一個半月之前Adobe就已經發佈安全性修正 05/01 13:26
38F:→ mayuyu: 如果有按時進行安全性更新 05/01 13:27
39F:→ mayuyu: 就比較不會受到這種跟流行的漏洞攻擊 05/01 13:27
40F:→ mayuyu: (大家都知道有這漏洞了 還有現成工具 每個人都想試試 05/01 13:27
41F:→ mayuyu: 所以變成一種流行) 05/01 13:28
42F:推 koihime: 我點了KB4012215的Package Details,他寫說: 05/01 13:35
43F:→ koihime: This update has been replaced by the following update 05/01 13:35
44F:→ koihime: 然後給了4月份的KB4015549的連結,看起來應該是四月的 05/01 13:36
45F:→ koihime: 就有包含三月份的更新? 05/01 13:36
47F:推 nekoOAO: OK感謝各位大大! 05/01 13:59
48F:→ mayuyu: 我看了一下說明 現在更新包分為二種 05/01 14:27
49F:→ mayuyu: 以WIN7為例 WIN7的三月安全性更新包有二種 05/01 14:27
50F:→ mayuyu: 1. 僅限安全性品質更新 (KB4012212) 05/01 14:28
51F:→ mayuyu: 2. 每月安全性品質彙總套件 (KB4012215) 05/01 14:28
52F:→ mayuyu: 僅限安全性品質更新 -> 只包含當月(三月)的所有安全性更新 05/01 14:28
53F:→ mayuyu: 每月安全性品質彙總套件 -> 除了三月的安全性更新, 05/01 14:28
54F:→ mayuyu: 還包括過去每月的安全性和非安全性的更新。 05/01 14:28
55F:→ mayuyu: 因此三月的「彙總套件」(KB4012215) 05/01 14:29
56F:→ mayuyu: 也包含了一月的「彙總套件」(KB3212646)所有的更新。 05/01 14:29
57F:→ mayuyu: 所以如果安裝四月的「每月安全性品質彙總套件」(KB4015549 05/01 14:29
58F:→ mayuyu: 也會包含三月的所有安全性更新。 05/01 14:30
59F:→ mayuyu: 如果不放心,也可以先裝三月的彙總套件, 05/01 14:30
60F:→ mayuyu: 再安裝四月的彙總套件, 05/01 14:30
61F:→ mayuyu: Windows Update每個月的自動更新也是這樣安裝的 05/01 14:30
62F:→ mayuyu: 三月的時候裝KB4012215 四月的時候再裝KB4015549 05/01 14:30
63F:→ mayuyu: 每個月更新的時候都是下載和安裝彙總套件 05/01 14:31
64F:推 kenick: 收到 感謝m大熱心解說 我是安裝4月的彙總套件 05/01 14:43
65F:→ kenick: 這樣沒問題了 再次謝謝m大 05/01 14:44
66F:推 kesdoputr: 想請教一下,我google了一下想把SMB關了,參考這篇 05/01 15:08
68F:→ kesdoputr: 打netstat -an看到445還是在listening,請問要怎麼關 05/01 15:10
69F:→ Adven: Step2的動作與微軟教學同 所以都用了就先安心吧(茶) 05/01 15:20
70F:推 louie83279: 上星期突然電腦有跳一次藍屏,雖然昨天裝了更新檔但 05/01 17:26
71F:→ louie83279: 還是好怕啊 05/01 17:26
72F:推 koihime: 昨天看影片到一半電腦跳出lsass錯誤重開 05/01 17:48
73F:→ koihime: 然後發現有wuauser.exe、msiexev.exe,目前都幹掉然後 05/01 17:49
74F:→ koihime: 四月份更新包打上去,不知道還會不會再出問題@_@ 05/01 17:49
75F:→ mayuyu: 被SMB漏洞攻擊的電腦有可能因此發生藍屏或重開機 05/01 17:50
76F:→ mayuyu: 所以有些人是睡一覺起來發現電腦自己重開機了 05/01 17:50
77F:→ mayuyu: 藍屏或重開機是攻擊產生的副作用 不是攻擊者目的 05/01 17:50
78F:→ mayuyu: 攻擊者的目的是上傳payload 通常是dll 05/01 17:50
79F:→ koihime: 檔案看起來目前是沒事不過還是先備份隨時作好重灌準備 05/01 17:50
80F:→ mayuyu: 注入目標程序後下載其他木馬或惡意軟體 05/01 17:50
81F:→ mayuyu: 微軟的更新是修補這個漏洞 05/01 17:50
82F:→ mayuyu: 在受到攻擊前把這個漏洞補起來 05/01 17:50
83F:→ mayuyu: 如果系統已經遭受過這個漏洞攻擊 05/01 17:51
84F:→ mayuyu: 並且已經被植入其他的木馬或惡意軟體 05/01 17:51
85F:→ mayuyu: 這個更新並不能移除被安裝的木馬或後門 05/01 17:51
86F:→ mayuyu: 也不能修復已經受損的系統 05/01 17:51
87F:→ koihime: 希望只是被放個挖礦沒有被埋勒索進去 05/01 17:51
88F:→ koihime: wuauser.exe、msiexev.exe這兩個的話有哪套免費的推薦嗎 05/01 17:53
89F:→ louie83279: 最挫的是,我不懂到底是真的受到攻擊還是電腦太舊設 05/01 17:53
90F:→ louie83279: 備異常跳藍屏=皿= 05/01 17:53
91F:→ koihime: 本來是只有用內建的windows defender 05/01 17:53
92F:→ Adven: 小紅傘可以抓到wuauser與msiexev 不過我是自己在安全模式下 05/01 19:09
93F:→ Adven: 刪除的 05/01 19:09
94F:推 baaad: 我也照著kesdoputr分享的網頁做,做完重開機netstat -an 05/01 19:48
95F:→ baaad: 445還是listening >"< 05/01 19:49
96F:→ qama: 請問WIN7下載KB4012212 x64安裝出現0x80240037是甚麼意思呢? 05/01 19:51
98F:→ skill1095: 此網址可以偵測有沒有doublepulsar 05/01 20:20
99F:推 kuranado: 請教一下,如果沒有藍屏或者重開機現象,是否表示沒 05/01 20:43
100F:→ kuranado: 有感染到,或者還有其他方式查詢是否中獎,如出現不該 05/01 20:43
101F:→ kuranado: 有的資料夾或者某檔名,現在才看到此問題,趕緊下載 05/01 20:43
102F:→ kuranado: 3月份的更新,謝謝。 05/01 20:43
103F:推 a4567850: 勒索病毒並不一定會有藍屏和重開機現象 05/01 21:22
104F:→ a4567850: 我的2台電腦就是用到一半時直接開始檔案被加密亂碼 05/01 21:23
105F:推 koihime: 上頭給的網頁測了寫NO DOUBLEPULSAR Implant Detected 05/01 22:05
106F:→ koihime: 再觀察看看...這次這洞感覺就是好一點被放挖礦黑一點 05/01 22:06
107F:→ koihime: 就直接被放勒索的fu... 05/01 22:06
108F:推 laxii: 請問電腦是 ip 192.168.1.xxx 就不會中主動式的勒索病毒嗎? 05/04 16:49