呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：勒索病毒 WanaCrypt0r 2.0 利用美國國安局(NSA)的 ETERNALBLUE 攻擊程式散播！災情慘重！寫在前面：到 201/05/13 10:00 為止，一旦感染 WanaCrypt0r 2.0 勒索病毒，尚無復原方式！預防勝於治療，尚未更新微軟 3月份 MS17-010 修正程式的 Windows 電腦，請盡速使用系統更新機制更新，以免受害！ Microsoft 資訊安全公告 MS17-010 - 重大(Microsoft Windows SMB 伺服器的安全性更新 (4013389)) https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx 摘要：此次攻擊主要是之前影子掮客(Shadow Broker)所公佈美國國安局(NSA)旗下「方程式」(Equation)的攻擊工具，再綑綁 WanaCrypt0r 2.0 勒索病毒所造成的。工具名稱為 ETERNALBLUE 是針對 Windows 系統 MS17-010 的 SMBv2 漏洞，可在之前公布的 The Shadow Brokers "Lost In Translation" leak 中找到！ https://github.com/misterch0c/shadowbroker/ 根據卡巴斯基實驗室所分析的病毒樣本，最嚴重的感染國家為俄羅斯、第 4 為台灣、第 8 為中國、第 14 為香港。其索取金額高達 300 美金，勒索病毒作者要求在三天內付款，三天一到就是翻倍贖金，而如果到第七天，檔案就會永久無法刪除。一旦中獎就會從隱藏在 tor 的伺服器進行以下步驟： attrib +h . icacls . /grant Everyone:F /T /C /Q C:\Users\xxx\AppData\Local\Temp\taskdl.exe @WanaDecryptor@.exe fi 300921484251324.bat C:\Users\xxx\AppData\Local\Temp\taskdl.exe C:\Users\xxx\AppData\Local\Temp\taskdl.exe 執行 cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet 技術資料： WanaCrypt 感染地圖統計： https://intel.malwaretech.com/botnet/wcrypt WannaCry ransomware used in widespread attacks all over the world https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/ WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法 http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html?m=1 WanaCrypt0r 2.0 攻擊系統漏洞　台灣成全球第二大勒索病毒受災國家 https://www.kocpc.com.tw/archives/146227 綁架病毒漏洞更新檔 https://forum.gamer.com.tw/C.php?bsn=60030&snA=461840&tnum=4 相關報導： WannaCry Ransomware That's Hitting World Right Now Uses NSA Windows Exploit http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html LEAKED NSA EXPLOIT SPREADING RANSOMWARE WORLDWIDE https://threatpost.com/leaked-nsa-exploit-spreading-ransomware-worldwide/125654/ Massive ransomware infection hits computers in 99 countries http://www.bbc.com/news/technology-39901382 史上最大勒索病毒攻擊　外媒稱台灣受害深 http://www.appledaily.com.tw/realtimenews/article/international/20170513/1117716/%E5%8F%B2%E4%B8%8A%E6%9C%80%E5%A4%A7%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%94%BB%E6%93%8A%E3%80%80%E5%A4%96%E5%AA%92%E7%A8%B1%E5%8F%B0%E7%81%A3%E5%8F%97%E5%AE%B3%E6%B7%B1 勒索病毒肆虐! 百國受害俄.台最嚴重 https://www.youtube.com/watch?v=ZtEp9ZZpSBc #591667bd5d8f301f1e876b23

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：勒索病毒 WanaCrypt0r 2.0 利用美國國安局(NSA)的 ETERNALBLUE 攻擊程式散播！災情慘重！寫在前面：到 201/05/13 10:00 為止，一旦感染 WanaCrypt0r 2.0 勒索病毒，尚無復原方式！預防勝於治療，尚未更新微軟 3月份 MS17-010 修正程式的 Windows 電腦，請盡速使用系統更新機制更新，以免受害！ Microsoft 資訊安全公告 MS17-010 - 重大(Microsoft Windows SMB 伺服器的安全性更新 (4013389)) https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx 摘要：此次攻擊主要是之前影子掮客(Shadow Broker)所公佈美國國安局(NSA)旗下「方程式」(Equation)的攻擊工具，再綑綁 WanaCrypt0r 2.0 勒索病毒所造成的。工具名稱為 ETERNALBLUE 是針對 Windows 系統 MS17-010 的 SMBv2 漏洞，可在之前公布的 The Shadow Brokers "Lost In Translation" leak 中找到！ https://github.com/misterch0c/shadowbroker/ 根據卡巴斯基實驗室所分析的病毒樣本，最嚴重的感染國家為俄羅斯、第 4 為台灣、第 8 為中國、第 14 為香港。其索取金額高達 300 美金，勒索病毒作者要求在三天內付款，三天一到就是翻倍贖金，而如果到第七天，檔案就會永久無法刪除。一旦中獎就會從隱藏在 tor 的伺服器進行以下步驟： attrib +h . icacls . /grant Everyone:F /T /C /Q C:\Users\xxx\AppData\Local\Temp\taskdl.exe @WanaDecryptor@.exe fi 300921484251324.bat C:\Users\xxx\AppData\Local\Temp\taskdl.exe C:\Users\xxx\AppData\Local\Temp\taskdl.exe 執行 cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet 技術資料： WanaCrypt 感染地圖統計： https://intel.malwaretech.com/botnet/wcrypt WannaCry ransomware used in widespread attacks all over the world https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/ WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法 http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html?m=1 WanaCrypt0r 2.0 攻擊系統漏洞　台灣成全球第二大勒索病毒受災國家 https://www.kocpc.com.tw/archives/146227 綁架病毒漏洞更新檔 https://forum.gamer.com.tw/C.php?bsn=60030&snA=461840&tnum=4 相關報導： WannaCry Ransomware That's Hitting World Right Now Uses NSA Windows Exploit http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html LEAKED NSA EXPLOIT SPREADING RANSOMWARE WORLDWIDE https://threatpost.com/leaked-nsa-exploit-spreading-ransomware-worldwide/125654/ Massive ransomware infection hits computers in 99 countries http://www.bbc.com/news/technology-39901382 史上最大勒索病毒攻擊　外媒稱台灣受害深 http://www.appledaily.com.tw/realtimenews/article/international/20170513/1117716/%E5%8F%B2%E4%B8%8A%E6%9C%80%E5%A4%A7%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%94%BB%E6%93%8A%E3%80%80%E5%A4%96%E5%AA%92%E7%A8%B1%E5%8F%B0%E7%81%A3%E5%8F%97%E5%AE%B3%E6%B7%B1 勒索病毒肆虐! 百國受害俄.台最嚴重 https://www.youtube.com/watch?v=ZtEp9ZZpSBc

at Sat, May 13, 2017 9:56 AM