作者goton (去者不追)
看板AntiVirus
標題[問題] 小紅傘似乎有擋住Wanacry 更新完就沒事了嗎?
時間Sat May 13 21:52:14 2017
不好意思爬文沒看到精確的描述
(因為都是說有沒有開始中毒被改檔名了
我不確定我這樣算不算已經中了)
想請問一下小紅傘一直出現擋住mssecsvc
電腦檔案似乎沒異狀
(不過剛剛要開魔獸世界開不了 然後就出現小紅傘)
這樣算是沒中毒嗎?
是不是關閉SMB1 然後更新完就沒問題了呢?
還有甚麼檔案要刪除的嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.180.162
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494683536.A.2C9.html
1F:→ trywish: 拔掉網路,如果小紅傘沒出現就表示都擋下來。如果有出現05/13 21:54
2F:→ trywish: 就表示已經在電腦裡了。先把重要檔案搬離開吧。不過要更05/13 21:54
3F:→ trywish: 安全還是重灌在更新到最新妥當。05/13 21:54
4F:→ ptt0219: 先關機,再拔網路線。05/13 21:55
5F:→ ptt0219: 從其他安全的電腦去下載更新檔,然後傳到隨身碟,再以手05/13 21:56
6F:→ ptt0219: 動更新。05/13 21:56
7F:推 aa1477888: 根據#1P5hh4QR 現在應該是第一步驟05/13 22:00
8F:→ aa1477888: mssecsvc.exe會想丟tasksche.exe 但是被小紅傘擋下來05/13 22:01
9F:→ aa1477888: 所以加密應該還沒開始 看能不能讓紅傘自力清除05/13 22:02
10F:→ aa1477888: 保險一點的作法 就是先把東西備份後整個重灌05/13 22:03
11F:→ gwofeng: 小紅傘沒防火牆,所以才會出現mssecsvc05/13 22:16
12F:→ gwofeng: 有防火牆的直接拒絕連線,不會出現mssecsvc05/13 22:17
13F:→ goton: 結果檔案還是被改了一部分05/13 22:38
14F:→ goton: C. EF全毀. D槽還沒 只能把D槽還沒備份的照片備份了05/13 22:39
15F:→ trywish: 時間差還是怪怪的,你檢查時候還沒有,應該就拔網路線了05/13 22:45
16F:→ trywish: 主程式被小紅傘吃了,還能感染三槽。有其他機制嗎?底下05/13 22:46
17F:→ trywish: 也是說插上隨身硬碟被感染,怎和目前看到的資訊有落差。05/13 22:47
18F:→ goton: 剛剛在安全模式下備份到外接硬碟 這樣不會把毒帶過去吧or05/13 23:20
19F:→ goton: z ?05/13 23:20
20F:→ goton: 重新開機後還是一直跳警告05/13 23:21
21F:→ goton: 但是不是那個執行檔 而是TR/FileCoder.72464505/13 23:21
22F:→ goton: 然後對象是我已經被改的E槽資料夾 05/13 23:22
23F:推 aa1477888: TR/FileCoder.724645 就是Wanncry病毒 這是雨傘的編號05/13 23:24
24F:推 aa1477888: mssecsvc.exe難道還有丟出什麼東西程式跑加密程序?05/13 23:28
25F:→ aa1477888: 好奇原PO在雨傘報毒之後有沒有把馬上網路中斷05/13 23:28
26F:→ goton: 沒有 !05/13 23:30
27F:推 aa1477888: 嗯...沒有...那就有幾種可能讓mssecsvc.exe找到漏洞05/13 23:36
28F:→ aa1477888: 接著把tasksche.exe引進來 就看透過什麼方式05/13 23:37
29F:→ aa1477888: 不然就是tasksche.exe早就開始作用了05/13 23:39
30F:→ aa1477888: 這隻病毒應該還有些行為沒有被分析出來05/13 23:40
31F:→ trywish: 因為沒有斷網,所以mssecsvc一直進來,可能在某次不小心05/13 23:43
32F:→ trywish: 被啟動成功了,說不定tasksche沒被擋下,就慢慢改掉了。05/13 23:43
33F:→ trywish: 而備份時候也可能沒注意到,不小心連病毒都備份過去了(?)05/13 23:44
34F:推 aa1477888: 樓上說的應該是可能性最高的狀況 漏掉某次就GG了05/13 23:49
35F:→ aa1477888: 我剛剛查了雨傘的VDF資料庫 WanaCry特徵是在5/12 23:5705/13 23:50
36F:→ aa1477888: 隨著7.14.6.158 VDF一起被推送更新 還不到24小時05/13 23:51
37F:→ aa1477888: 所以前面有裝雨傘卻沒攔到可以說得通 可能剛好在空檔05/13 23:52
38F:→ aa1477888: 總結就是 如果防毒叫了 第一時間就是斷網殺毒05/13 23:53
39F:→ aa1477888: 接著離線更新填漏洞 關閉SMB 443 PORT鎖起來05/13 23:54
40F:→ aa1477888: 如果這樣還是救不到 那就要懷疑是變種或未知行為了05/13 23:54
41F:→ aa1477888: 更正 443 PORT05/13 23:55
42F:→ trywish: 是445 port。反正現在用來控制感染的網址失效了,只要不 05/14 00:01
43F:→ goton: 嗯嗯 畢竟我電腦已經被家人開了一個晚上05/14 00:02
44F:→ trywish: 是已經存在的病毒檔,應該不會再發生類似感染。但port還05/14 00:02
45F:→ trywish: 是先鎖起來好。能更新就更新。檔案放半年看看,文字好像05/14 00:02
46F:→ goton: 看看檔案也沒動靜 所以就先沒理他 先來作功課05/14 00:03
47F:→ trywish: 有說半年後說不定有機會(?),不過真沒必要還是全砍了,免05/14 00:03
48F:→ trywish: 的還有什麼不可預期的情況。05/14 00:03
49F:推 aa1477888: 我怎麼更正還是錯XD 445對啦XD05/14 00:04
50F:→ goton: 照片檔會有夾帶病毒的可能性嗎 ?05/14 00:05
51F:→ aa1477888: 我覺得如果加密確實是RSA2048 除非美國拿出秘密武器05/14 00:06
52F:→ aa1477888: 不然要救回來真的難上加難...05/14 00:06
53F:→ aa1477888: 什麼檔案都有夾帶病毒的可能性 尤其是加密過的檔案05/14 00:06
54F:→ aa1477888: 誰知道還包進去了什麼鬼東西 放著別動他最好05/14 00:06
我複製的檔案都是看似正常
沒被改過加密的說
這樣還是可能有問題嗎orz ?
沒放到別台電腦
因為會怕影響別台
但是是在安全模式下
55F:推 kreuzritter: 請問我用AVAST昨晚擋住一次後立馬斷線,然後今早檢查05/14 00:07
56F:→ kreuzritter: C槽未發現taskche等等檔案,也沒聽到AVAST持續警告,05/14 00:07
57F:→ kreuzritter: 請問是否表示攔截成功05/14 00:07
58F:→ kreuzritter: 可以進行備份工作了嗎?怕連外接硬碟一起死...05/14 00:08
59F:推 aa1477888: 建議樓上先做一次全機掃描 因為可能不只C而已05/14 00:18
60F:→ aa1477888: 總而言之網路絕對不要先連回去這樣05/14 00:19
※ 編輯: goton (114.136.78.47), 05/14/2017 00:19:47
61F:→ aa1477888: 雖然我的個性還會先去抓Avast的病毒碼來做離線更新 05/14 00:20
62F:→ aa1477888: 但這個步驟非必要就是 畢竟沒另一台電腦也不方便這樣做 05/14 00:20
63F:→ aa1477888: 全機掃描結束沒問題之後 進安全模式再外接硬碟備份 05/14 00:21
64F:→ aa1477888: 基本上這樣已經算是很謹慎了 05/14 00:22
65F:→ aa1477888: 如果這樣還是GG 那就代表目前對Wanncry的研究不夠透徹 05/14 00:22
66F:→ aa1477888: 回原PO 如果已經複製就複製了吧 05/14 00:23
67F:→ aa1477888: 到時候電腦重灌或者找另一台電腦之後 再去掃外接硬碟 05/14 00:23
68F:→ aa1477888: 如果防毒軟體沒報毒就可以比較安心 05/14 00:24
69F:推 kreuzritter: 已經全機掃描過了,中間還有偷偷連上網路幾分鐘更新 05/14 00:29
70F:→ kreuzritter: 病毒碼,後再掃描重開都未發現@@ 05/14 00:29
71F:推 kreuzritter: 目前看看CDE槽,檔案都還正常無異狀這樣 05/14 00:31
72F:→ aa1477888: 那我覺得應該是沒問題 SMB Windows TCP那些趕緊處置 05/14 00:32
73F:→ aa1477888: 應該就算是從鬼門關前救了回來 感恩AVAST吧XD 05/14 00:32
74F:推 kreuzritter: 阿彌陀佛.....QQ 05/14 00:39