作者whiteD (悠閒自在...)
看板AntiVirus
標題[情報]cerber勒索軟體
時間Wed May 17 00:19:08 2017
近期因為 WannaCry 太夯了,導致公司大頭們都相當緊張,
雖然小弟跟大夥保證,公司絕對沒問題,不用擔心
但是大家還是一副草木皆兵的樣子,只要有發生電腦有狀況
就一定要最高規格處理,連分公司有狀況都要去看...
不過,卻意外發現最近公司內部接連發生檔案被加密,但沒被勒索
想當然耳,當然是中了勒索,只不過對外連線目的端的中繼站被FW擋了
所以同仁接收不到勒索匯款的畫面。
被加密的檔案副檔名均變更為16進位,看起來就等於4位數的英數字
詳查evenlog,可以發現中標的源頭為隨身碟,裡面有個腳本檔.hta(隱藏檔)
應該為cerber勒索軟體的變種,兇手隨身碟均有被帶回家使用,所以無法確實追查源頭
給大家參考,也請教各位先進,這可能是上了哪些網站論壇而中標?要拿來宣導使用。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.230.52.34
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494951551.A.27F.html
1F:→ gwofeng: 可以提供下樣本嗎,隨身碟型的勒索病毒實在罕見 05/17 00:20
2F:→ gwofeng: 那個hta應該是勒索說明檔而已,cerber一向都是加密完就 05/17 00:29
3F:→ gwofeng: 自殺,很難想像會從中毒的電腦移居到隨身碟去暴露自己的 05/17 00:30
4F:→ gwofeng: 本體 05/17 00:30
可惡,被大大說中了,因為有個TXT說明檔,而且.hta是隱藏檔,所以以為是本體
結果剛剛抽空去看,也還是說明檔,傷心...
5F:推 coyoteY: 如果發展成APT攻擊,這根本是很難防..要鎖掉USB惹 05/17 00:35
6F:推 Sich: 想趁機問一下各位大大,除了物理封鎖usb槽,有什麼有效控制u 05/17 00:54
7F:→ Sich: sb裝置的方法? 05/17 00:54
8F:推 Sich: 小的公司對外算得上很周全(因為4年前有被攻擊到整個系統崩 05/17 00:56
9F:→ Sich: 潰一個月)可是對內我感覺還是跟紙糊的沒什麼兩樣... 05/17 00:56
小弟我也覺得很困難
10F:推 idunhav1: sandboxie? 05/17 01:02
11F:→ IDfor2010: 提示框是最近版才有的 之前的沒有提示框 似乎是txt文檔 05/17 01:24
12F:→ IDfor2010: 或是有另一個要你點開看的檔案 這病毒越來越人性化了 05/17 01:25
13F:推 verdandy: 因為不人性就勒索不到錢,現在勒索軟體有多國語言 05/17 02:06
14F:→ verdandy: 有換比特幣教學,還有客服信箱就是希望能確實收到贖金 05/17 02:07
15F:推 peterh05: AD、防毒、資產軟體都可以控管USB 05/17 07:43
16F:推 erik777: 病毒加密完就自殺是為啥? 怕反組譯解出密碼? 05/17 08:04
17F:推 Klauhal: 減少被拉出來當樣本玩的機率 05/17 08:11
18F:→ Klauhal: 不過只要在加密完成前拉出來就變成樣本了... 05/17 08:12
※ 編輯: whiteD (210.241.4.253), 05/17/2017 08:21:27
19F:推 po77916: 把病毒抓來玩 聽起來有點變態..難怪病毒要自殺 05/17 11:30
20F:推 gary5034: 要防止USB 要不要參考一下國軍小企鵝XD 05/17 11:44
21F:推 erxx2002: 專業的阿宅 05/17 12:18
22F:→ kondoyu: 病毒會自殺很正常啊 妳看看女忍者被抓到的下場 05/17 13:28
23F:推 F16V: 現在有對魔忍病毒嗎 05/17 13:50
※ 編輯: whiteD (210.241.4.253), 05/17/2017 14:11:25
24F:→ modkk: 對樓上的講法感到興奮 05/17 19:08
25F:推 StrikeBee: 勒索病毒擬人化出本子,想想就硬了 05/17 23:46
26F:推 AprilE98: 樓怎麼歪成這樣... 05/18 00:16
27F:推 weiyilan: 咕殺病毒,此處應有本 05/18 05:43
28F:→ LOVEMS: 有些大企業會禁USB,頂多開少數電腦專門供USB使用,不這 05/18 10:45
29F:→ LOVEMS: 樣作就搞死IT/MIS而已 05/18 10:45