Shunze 學園 (http://www.shunze.info/forum/index.php)
|- 病毒追追追 (http://www.shunze.info/forum/board.php?boardid=6)
|-- 《分享》WannaCrypt 2.0勒索病毒 (http://www.shunze.info/forum/threadid.php?boardid=6&threadid=2039)


作者: shunze 發表時間: 2017-05-14, 22:03:

《分享》WannaCrypt 2.0勒索病毒

2017/5/12爆發的WannaCrypt 2.0勒索病毒,
跟N年前XP時代的疾風病毒一樣,採用主動攻擊的手法,針對SMB系統漏洞Port 445進行攻擊。
除了XP與2003外,有持續進行Windows Update的微軟OS都能封阻此漏洞。

由於不需用戶端觸發條件,而是直接經由系統漏洞進行滲透,嚴格說起來應該是蠕蟲而不是病毒!



在有防火牆的環境下,用戶端電腦不會直接被黑客掃到而遭受攻擊,
但以直接配置實體IP使用的學術網路,與透過撥接取得實體IP的用戸,風險相對高!
因為系統中的漏洞風險,是直接面對整個網路世界。

另外有防火牆過濾的環境也不該掉以輕心,
因為已中毒的電腦,會被黑客利用而攻擊區域網路中的其它電腦,
千萬不要以為在防火牆的保護下就萬無一失!
還沒有中毒的Windows電腦,請先於防火牆中關閉TCP/UDP 445 port後,
再上網更新patch。


該病毒是利用在今年(2017)被美國國家安全局(NSA)所發現的一個Windows系統漏洞來攻擊電腦,
雖然微軟在2017/3/14發佈了安全公告 MS17-006 以修補此漏洞,
但Windows 2003與XP的用戶不在此修補清單之中。
另外像順子這樣討厭Win10老是莫名其妙的要求重開機而把Windows Update關掉的用戶也在威脅清單之中。


該病毒爆發的情況相當嚴重,
據說受災情形最慘的是俄羅斯,接著就是台灣,目前是屬於第二大的受災國家。



Win7以上未進行Windows Update的電腦,請到以下微軟網站下載patch。
https://technet.microsoft.com/en-us/libr...y/ms17-010.aspx

Windows XP與2003的用戶,微軟也緊急釋出更新,提供用戶下載修正。
https://blogs.technet.microsoft.com/msrc...acrypt-attacks/


作者: shunze 發表時間: 2017-05-14, 22:20:

《分享》勒索病毒中場休息

WannaCrypt 2.0勒索病毒經研究人員觀察後,發現會先連到如下的網域。
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
在連線該網域失敗後,才會執行檔案加密,否則就放棄檔案加密,並結束軟體退出。

這個特性被 MalwareTech 這個單位的資安研究員Marcus Hutchins發現後,
花了 8.29英鎊 進行註冊。
而這個動作,無異解除了還未中毒電腦的危機。
Marcus Hutchins絕對是個拯救世界的大英雄!



雖然WannaCrypt勒索病毒目前已經緩解,災情已控制下來,
但大家都知道,這樣的勒索原型被開發出來了,
後續的變種一定會層出不窮。

即便我們再討厭Win10莫名的進行更新要求重開機,
但該進行的重要更新還是要做,
不然如何去防範這樣的威脅呢?


參考資料
花 8.29 英鎊拯救世界,WannaCrypt 勒索病毒中場休息

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi