作者leon19790602 (())
看板AntiVirus
標題[情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間Fri May 12 22:56:02 2017
來源:
https://twitter.com/malwrhunterteam
MalwareHunterTeam表示
WanaCrypt0r 2.0正在大規模攻擊未更新的漏洞系統
不到2小時的時間中已經造成重大災情,第一波主要的攻擊目標為:
Taiwan
Russia
Turkey
Kazakhstan
Indonesia
Vietnam
Japan
Spain
Germany
Ukraine
Philippines
等國家
目前影響最嚴重的國家台灣排名第二
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.150.145.4
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494600965.A.ED7.html
1F:→ gwofeng: 懶得更新的人就拔掉網路線 過幾天沒網路的生活 就不會中 05/12 22:58
2F:推 greg7575: 幫QQ 05/12 22:58
3F:推 estupid: RU TW 大幅領先 這是啥概念 05/12 22:59
4F:推 nerorush: 怕爆 沒開機有插網路線會中嗎 剛從宿舍回家 05/12 23:01
5F:→ hn9480412: 就一堆人說不開自動更新,結果連手動更新都不做 05/12 23:02
6F:→ hn9480412: 不過這幾個月Win 7/8.1都是修正SMB漏洞居多 05/12 23:02
7F:推 aegis43210: 嗯,只要開機有連上網,就會被攻擊,沒更新的自求多福 05/12 23:02
8F:推 lalafly: 想知道沒開機有插網路線會嗎+1 05/12 23:03
9F:→ gwofeng: 沒開機當然不會... 05/12 23:03
10F:→ greg7575: 病毒應該沒有閒到喚醒系統來加密吧 05/12 23:04
11F:→ lalafly: 那中了之後只要關機就會停止擴散嗎? 還是連電源也要拔呢 05/12 23:04
12F:→ lalafly: 看晚上一堆人中 我整個很想直接關機保護他了XD 05/12 23:05
13F:→ gwofeng: 中了直接燒毀 不然會飛沫傳染 (大誤 05/12 23:06
14F:推 Duncan0722: 剛剛把網路斷線 結果電腦自己重新開機 開機完病毒直 05/12 23:06
15F:→ Duncan0722: 接all in所有答案 05/12 23:06
16F:→ Duncan0722: 檔案 05/12 23:07
17F:推 Duncan0722: 全部中毒,不知道跟有沒有拔掉網路線有關 05/12 23:08
18F:推 luuluu: 第一個攻擊台灣該不會是台灣人付贖金付最爽快??? 05/12 23:09
19F:→ eva05s: 很多人大概以為所謂關閉自動更新就是整個取消掉吧 05/12 23:09
20F:→ greg7575: 因為台灣人完全沒有資安觀念。用盜版系統不更新 05/12 23:09
21F:→ greg7575: 到公司也用一樣的心態在做事。呵呵 05/12 23:10
22F:→ gwofeng: 其實盜版也是可以更新,但有時候會被拉黑 就要重新破 05/12 23:12
23F:→ eva05s: 不要說台灣人,一般使用者對資安的認識都差不多 05/12 23:13
24F:→ eva05s: 「裝個防毒就無敵」這種多得是 05/12 23:14
25F:→ eva05s: 我自己如果不是國高中時期也親身經歷過幾次資安事件 05/12 23:15
26F:→ eva05s: 也不會開始試著去學一下到底該怎麼規避風險.... 05/12 23:15
27F:推 greg7575: 為了玩私服把防毒關掉,這類的蠢人嗎。 05/12 23:17
28F:→ photoless: 資安不是裝防毒程式而已 哈啊哈 05/12 23:18
29F:→ photoless: 為了破解 關防毒的人很多啊 05/12 23:19
30F:→ photoless: 笑翻了 台灣人付贖金最阿殺力 難怪人家直接找台灣麻煩 05/12 23:20
31F:推 ilms49898723: 就風氣還沒形成啊,大部分的人還是認為要用個軟體 05/12 23:21
32F:→ ilms49898723: 上網找破解版就好幹嘛花錢買,然後為了破解就啥都 05/12 23:21
33F:→ ilms49898723: 照做認為自己在省錢 05/12 23:21
34F:→ photoless: 大概10年前 就轉用免破解的軟體了 05/12 23:23
35F:推 estupid: VM會不會中阿 我的WIN7 VM也沒在更新的 05/12 23:26
36F:推 amos30627: VM中了又不痛不癢 05/12 23:29
37F:→ Uizmp: VM會中啊, 我放hicloud的VM之前就炸了, 還在我關機的時候 05/12 23:36
38F:→ Kennyq: 有在用VM基本上都會用Snapshot,中了還原就好 05/12 23:41
39F:→ Kennyq: 我在看可能比較危險的網頁(廣告跳一堆),都會用VM 05/12 23:42
40F:→ Kennyq: 看完直接Snapshot還原 05/12 23:42
41F:→ Kennyq: 說Win7沒更新會中...那用Win XP呢?哈... 05/12 23:44
42F:推 Kreen: 公家機關 WIN 7 表示: 05/12 23:44
43F:→ CamryHybridQ: 剛看有人說xp也有中了 05/12 23:47
44F:推 lalafly: 突然好奇一個問題 勒索病毒都是從桌面開始加密的嗎? 05/12 23:50
45F:推 StrikeBee: 還來喔e04…(備份中 05/12 23:51
46F:推 go1717: 勒索病毒有隨機加密 05/12 23:53
47F:推 aegis43210: 很多種,有從常用檔先的,也有從a開頭開始的 05/12 23:54
48F:→ Kennyq: 我也用XP阿...怎麼好好的...不過我防火牆有開也有防毒... 05/12 23:55
49F:→ Kennyq: 另外我看網路異常連線都會直接斷線並查詢工作管理員...噗. 05/12 23:57
50F:推 hiimjack: 請問沒中毒的現在開始更新還來得及嗎?上次更新好像是三 05/13 00:01
51F:→ hiimjack: 月的事情 有點怕怕的 05/13 00:01
52F:→ eva05s: 不嫌晚啊,難道要繼續放著嗎 05/13 00:05
53F:推 hiimjack: 謝謝 等資料備份完就去更新 05/13 00:06
54F:推 nk950357: win 10沒事嗎 05/13 00:07
55F:推 wsx26997785: WIN7 剛剛更新了.... 05/13 00:11
56F:→ nekosgr93: 目前看好像都是jpg跟文件檔被鎖 其他似乎都跳過? 05/13 00:19
57F:推 washi54: 請問WIN8 8.1現在有災情嗎? 05/13 00:24
58F:推 Granatha: rar, office系列的也掰ㄌ 05/13 00:25
60F:→ sean89772122: ove-restore-files/ 05/13 00:25
61F:→ Granatha: 我剩一點點的系統檔是感覺的 ;_; 05/13 00:26
62F:→ Granatha: 乾淨 05/13 00:26
63F:→ sean89772122: 被拆了 這是別人傳的 不知是不是破解 05/13 00:26
64F:推 IamMario: 這幾天用手機或平板上網好了.... 05/13 00:28
65F:→ nekosgr93: 中毒後十分鐘內關機開安全模式插舊外接硬碟測試是沒有 05/13 00:43
66F:→ nekosgr93: 傳染過去所以應該是可以開安全模式進去救資料的 05/13 00:43
67F:→ nekosgr93: 學到資安的重要了@@ 05/13 00:43
68F:→ changtzhcun: 不知道哪天出了 手機綁架病毒就更慘 05/13 00:50
69F:→ LOVEMS: 有每天自動更新 還是怕怕的 05/13 00:51
70F:推 super1937: 有每天自動更新就安全嗎? 05/13 00:58
71F:推 force5566: xp拔刀再戰 05/13 01:03
72F:推 ayasesayuki: 手機喔 要先取得root權限才能加密吧 這漏洞要很大才 05/13 01:05
73F:→ ayasesayuki: 有辦法 05/13 01:05
75F:→ sa73157: wcrypt的即時動態 05/13 01:08
76F:→ lingsk: 自動更新的 請再按檢查更新是否有新的更新檔 05/13 01:14
77F:→ spyair: 太可怕了 到底是那個夭壽的做這種毒 05/13 01:20
78F:→ cancerstan: 因為現在比特幣很貴.. 05/13 01:21
79F:推 GBO5: 我想問個VM狀況 如果VM中了有可能因為IP關係造成主機也中嗎? 05/13 01:57
80F:推 GJME: 有跟VM互開網芳分享應該也會中招 他是走SMB進來的 05/13 02:05
81F:推 foxhell: 比特幣幣值 - 1:1700美金 左右而已... Orz 05/13 02:08
82F:推 leftless: 竟然跌了 前天看快1:1900 05/13 02:18
84F:→ Kennyq: 作業系統內445port關閉,或防火牆445port不要開 05/13 02:24
85F:→ Kennyq: 正常防火牆對外就是全擋阿...要用啥才開啥... 05/13 02:26
86F:→ Kennyq: 關了之後去dos下指令netstat -an |more 就看不到445被監聽 05/13 02:27
87F:→ Kennyq: 445port預設是LISTENING狀態喔...你沒關的話 05/13 02:29
88F:推 silentence: 呿 按到整個執行檔刪除 05/13 02:33
89F:→ Kennyq: 修改檔案,不是刪除檔案,右鍵修改,數值資料清空按確定 05/13 02:34
90F:→ Kennyq: = = 但我老實說,沒點網管功力的人應該搞不清楚... 05/13 02:35
91F:→ Kennyq: 順便說說我這人是沒啥在windows更新的..除非出SP1.2.3之類 05/13 02:36
92F:推 silentence: 真的 毫無概念操作起來毛毛的 05/13 02:36
93F:→ Kennyq: 不然windows小更新有時候也會造成系統掛掉... 05/13 02:37
94F:→ Kennyq: SP1.2.3之類是很多windows更新的大集合...測試完畢的 05/13 02:37
95F:推 taikonokero: 請益 如果檔案放在dropbox 是否就有辦法還原? 05/13 02:37
96F:→ silentence: Vista一整個放棄治療阿 在用時沒想到能撐到現在 05/13 02:38
98F:→ Kennyq: 照關...反正445port關了也不影響我上網,我也沒在用網芳 05/13 02:45
99F:→ Kennyq: 我電腦是直接撥接小烏龜上網,沒走NAT 05/13 02:45
100F:推 silentence: 透過手機的話呢o_o? 05/13 02:47
101F:→ Kennyq: 你試試看阿!不能上網頂多數值key回去 05/13 02:49
102F:→ Kennyq: 沒清空前該檔數值資料是 \Device\ 05/13 02:50
103F:→ Kennyq: 刪除了也可以右鍵新增字串值回去,照我圖片key就好了 05/13 02:52
104F:推 silentence: 那應該是沒問題了 05/13 02:53
105F:→ silentence: (_ _)>感恩 05/13 02:53
106F:→ Kennyq: 防火牆有開根本連不進去你電腦, 05/13 02:54
107F:→ Kennyq: 作業系統內關445port更狠...防火牆開了也連不進你OS 05/13 02:55
108F:→ Kennyq: 簡單說,你家大門沒開...阿駭客是要怎麼打進去... 05/13 02:57
109F:→ Kennyq: 防火牆預設全關就是窗戶大門全都封死啦!鬼才進的去... 05/13 02:58
110F:→ Kennyq: 445port就是你房間門也封死... 05/13 03:08
111F:推 silentence: 這樣講就很好懂了 05/13 03:28
112F:推 just5566: 數值清除,445還是開啟的,更新完KB4019264,卡巴防火牆 05/13 04:07
113F:→ juunuon: pid4的程式在用port445 去查發現是system (NT kernel & 05/13 04:08
114F:→ just5566: 有封鎖,這樣不曉得行不行... 05/13 04:08
115F:→ juunuon: System) 這樣會有問題嗎 05/13 04:09
116F:→ jamestracy: 請問資料夾有加密上鎖的話仍會中標嗎? 05/13 04:12
117F:推 Kreen: 會。 05/13 04:12
118F:推 lost1nngo: <港仔中招 我把程序跟服務砍掉就沒事了 只影響18GB 05/13 05:22
119F:→ lost1nngo: 重要的資料都沒事, 他好像主要攻擊容量少的硬碟優先 05/13 05:23
120F:→ lost1nngo: 256+128SSD比較慘, 放重要資料的2TB+3TB什麼事都沒有 05/13 05:23
121F:推 akay08: 445 關了就好了嗎?我也重來都沒有更新過 05/13 06:18
122F:→ akay08: 因為以前有更新過出問題的,後來重灌也不更新了 05/13 06:19
123F:推 akay08: 我已經清空了,可是 445 還在 LISTENING,怕怕的 05/13 06:24
124F:→ akay08: 也有重開機了 05/13 06:24
125F:→ akay08: 怎麼辦,防火牆全擋再安裝全部更新嗎? 05/13 06:26
126F:→ juunuon: 樓上用netstat -ano看看pid是不是4 05/13 06:47
127F:→ juunuon: 我也是有更新然後把能關的都關了 結果445還是在 05/13 06:48
128F:推 amudi: XP 小雨傘 目前為止沒遇過 05/13 08:37
129F:推 king22649: 竟然沒有美國? 05/13 09:54
130F:→ AMDMARSHAL: 小小一個台灣居然上榜 05/13 10:44
131F:→ Kennyq: 打美國會被FBI快速抓出來鞭吧...哈... 05/13 10:44
132F:→ AMDMARSHAL: 論犯罪集團是亞洲國家的機率 05/13 10:44
133F:推 jk01: 台灣公家機關居然都沒災情傳出? 05/13 10:52
136F:推 mathrew: 公家機關要下星期一才有災情 下周我公司電話接不完 = = 05/13 11:07
137F:推 Cactusman: 公家機關放假啊 05/13 11:10
138F:推 Himawarier: 沒開機沒連線應該安全吧QAQ 05/13 12:12
139F:推 qxxrbull: 那個即時動態的網站有中華民國國旗耶 05/13 12:12
141F:推 agreerga: 公家機關反而會照著預設更新吧(? 覺得公司行號比較慘 05/13 13:28
142F:推 APM99: 公家機關沒在直接連網的吧 05/13 13:47
143F:推 GhriS: 公家大都躲在防火牆後吧 05/13 14:01
144F:→ laechan: 躲在防火牆後面沒錯,但很多都同一網段,一台中,同一網段下 05/13 16:45
145F:→ laechan: 的其它台若有漏洞就可能跟著中槍 05/13 16:45
146F:→ laechan: 通常僅慎一點的網段會切很細再用防火牆,用以避免擴散過大 05/13 16:46
147F:推 s40325: 為什麼沒攻擊china啊 ? 05/13 19:06
148F:推 paul40807: 樓上平行世界 China也很慘 而且都學術網路 因為他們學 05/13 19:09
149F:→ paul40807: 術都用port445 剛好中獎 05/13 19:09