昨天晚上看到污欢在咨询这件事,没怎么注意:
qxqinghuan 22:22:34 我们学校闪讯 |
qxqinghuan 22:22:59 后台好像被挂了比特币病毒 |
qxqinghuan 22:23:14 大批人中了比特币病毒 |
王And木 22:23:38 比特币现在还无解? |
qxqinghuan 22:23:59 _(:з」∠)_这我也不知道 |
qxqinghuan 22:24:08 我都不敢开闪讯了 |
因为不懂才加群22:24:15 [表情] |
王And木 22:24:25 闪讯是什么 |
因为不懂才加群22:24:35 上网客户端 |
qxqinghuan 22:24:35 就是学校用的教育网 |
王And木 22:24:49 又没事 |
王And木 22:25:24 你们学校有官网吗 |
王And木 22:25:28 我看看 |
qxqinghuan22:26:59 有的 |
qxqinghuan 22:27:20 不过应该跟官网关系不大 |
qxqinghuan 22:27:26 闪讯是一个客户端 |
王And木22:27:35 我就是看看你们官网什么样 |
王And木 22:27:39 [图片] |
qxqinghuan22:28:02 直接搜浙江工商大学杭州商学院官网就出来了 |
qxqinghuan22:28:25 我我我……我不敢联网QAQ |
因为不懂才加群 22:28:52 怕啥 |
因为不懂才加群22:29:00 |
qxqinghuan 22:29:19 ╭(╯^╰)╮我就怕 |
qxqinghuan 22:29:27 电脑里重要的东西多了去了 |
因为不懂才加群22:29:29 找不到你们的客户端下载地址,这就很尴尬了 |
qxqinghuan 22:29:51 客户端地址不是这个 |
因为不懂才加群 22:30:07 [图片] |
因为不懂才加群22:30:11 是呀 |
因为不懂才加群 22:30:18 想看看你们绑马的端 |
qxqinghuan22:30:24 |
qxqinghuan 22:30:27 这里下的 |
因为不懂才加群 22:30:49 下载Ing |
qxqinghuan 22:30:49 [图片] |
qxqinghuan22:31:00 第一个 |
因为不懂才加群22:32:05 下了,eset没报毒 |
qxqinghuan 22:33:09 [图片] |
因为不懂才加群 22:35:51 没毒啊 |
因为不懂才加群 22:35:55 NSIS打包的 |
因为不懂才加群 22:36:02 刚解包后用ESET扫描了 |
因为不懂才加群22:36:06 正常的 |
qxqinghuan 22:36:30 咦那是怎么回事? |
qxqinghuan 22:36:34 去病毒吧看看吧 |
qxqinghuan 22:36:41 很多人发了 |
qxqinghuan 22:37:06 看情况好几个地区都出现了 |
qxqinghuan 22:37:16 跟我们学校情况一模一样 |
暴打悟空 22:39:48 好凶残 |
暴打悟空 22:40:32 我学校最多也就全实验室电脑中u盘病毒而已 |
qxqinghuan 22:42:11 超凶残,我们学校都紧急发布不要上网的通知了 |
因为不懂才加群22:44:30 [图片] |
王And木22:44:37 现在安全软件可以拦截了吧 |
王And木 22:44:51 特别是360,拦截很任性。。。 |
因为不懂才加群 22:45:22 [图片] |
qxqinghuan22:45:24 [图片]我能说我三个室友用的都是辣鸡电脑管家吗 |
因为不懂才加群 22:45:33 360可以拦 |
因为不懂才加群22:45:37 核晶还是不错的 |
qxqinghuan 22:45:42 就我一个用360 |
因为不懂才加群 22:45:51 360是国内首家开始拦截勒索的 |
暴打悟空 22:46:20 电脑管家自从不内置红伞了我就不用了。。。 |
暴打悟空 22:46:31 360国际版还阔以 |
qxqinghuan 22:46:35 总之学校说在解决了 |
根据@软妹(贴吧ID:a3835655) 的说法,此次病毒名应该为:WanaCrypt0r.Ransom
以下分析来自他的文章:
这个毒已知使用了4月份泄露的ms17-010漏洞(所以请所有感染病毒后重装的或还未感染的打上这个漏洞的补丁)
其次,请大多数在教育网(校园网)的关闭445端口(该漏洞利用了这个端口,且受感染的是移动网居多)
至于文件恢复。。。。
这个毒跟cerber这些勒索软件一样,目前没有解密文件的方法,解密至少得等半年(最长甚至一年以上)
但不建议支付赎金(第一赎金是真的贵,第二支付了文件不一定能恢复)
而且这个勒索病毒是真的烦,每隔一段时间弹出主程序(看你情况,理论上杀毒可以解决这个问题,但也会造成勒索软件消失只能等救援)
如果都不懂,那很简单,拔网线解决所有问题
同时这个勒索病毒不能穿影子、虚拟机、沙箱(只针对直接打开,如果使用漏洞不一定能直接入沙,不过理论毛豆自动入沙可行)(毕竟只是加密文件,如果全盘影子那么勒索病毒是没办法修改文件的(改完后重启会恢复))
首先是病毒,WanaCrypt0r.Ransom是今年二月诞生的一款比特币勒索工具的衍生品,据英国金融时报和纽约时报披露,病毒发行者正是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把WanaCry病毒升级,被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。
关于WannaCry(想哭么)勒索病毒的传播,应该属于机遇SMB服务漏洞进行网络攻击的蠕虫病毒。最早这款勒索病毒会引诱你点击看似正常的邮件、附件或文件,并完成病毒的下载和安装,称为“钓鱼式攻击”(phishing)。安装后的病毒会将用户电脑锁死,把所有文件都改成加密格式,并修改用户桌面背景,弹出提示框告知交纳“赎金”的方式。
文章开始的图即是本次病毒袭击的截屏,内含“我的电脑发生了什么”、“如何修复我的文件”、“如何支付赎金”等信息。用户可以尝试修复极小一部分数据,作为证明病毒及“解药”有效的证据。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除,对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道。提示框左边是计时器,右边则标有付款及检验付款生效的方法。
这款病毒传播到国内,主要是由于Shadow Brokers组织在网上公布了NSA针对Windows文件与打印机共享系统漏洞的黑客编程代码,公布时间为4月中旬,我当时有写漏洞利用工具的文章,参考https://www.muruoxi.com/1540.html
因为NSA通杀全球七成微软用户,所以造成了利用NSA漏洞可以迅速传播WannaCry,造成大量中毒事件,并且在有心人士有针对的传播下,国内各高校大量中毒。
感谢思科Talos安全团队的文章
原病毒文件mssecsvc.exe会释放并执行tasksche.exe文件,然后检查kill switch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea点康姆,请勿访问避免给您带来危害)。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。
tasksche.exe文件则会检查硬盘,包括映射了盘符的网络共享文件夹和可移动存储设备,如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件,然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中,该恶意软件会生成一个新的文件目录“Tor/”,在其中释放tor.exe和九个供tor.exe使用的dll文件。此外,它还会释放两个额外的文件:taskdl.exe和taskse.exe。前者会删除临时文件,后者会启动@[email protected],在桌面上向最终用户显示勒索声明。@[email protected]并不包含在勒索软件内,其自身也并非勒索软件,而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。
@[email protected]会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接,让WannaCry能够通过Tor网络代{过}{滤}理发送其流量,从而保持匿名。
与其他勒索软件变种类似,该恶意软件也会删除受害人电脑上的任意卷影副本,以增加恢复难度。它通过使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。
WannaCry使用多种方法辅助其执行,它使用attrib.exe来修改+h标记(hide),同时使用icacls.exe来赋予所有用户完全访问权限(“icacls ./grant Everyone:F /T /C /Q”)。
加密完成后,该恶意软件会显示勒索声明。这一勒索软件非常有趣的一点是,其勒索屏幕是一个可执行文件,而非图像、HTA文件或文本文件。
“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。
https://technet.microsoft.com/zh-cn/library/security/MS17-010
针对系统不同下载对应补丁修复即可,或者用电脑管家等产品进行漏洞修补亦可以。
因为微软经常打不开,故补上百度云链接:
https://pan.baidu.com/s/1nu6K02X
暂时只提供以下版本补丁,微软炸了,部分补丁获取不到
win10 1607 x64
win10 1511 x64
win7 sp1 x64
win10 10240 x64
win8.1 x64
好了不说了,窝得修服务器去了,独立服务器多了也是个问题……
http://www.ithome.com/html/win10/308623.htm
声明:下载此样本代表你明确其所产生的后果并且愿意承担其造成的影响,在非研究性的目地下禁止恶意传播
链接: https://pan.baidu.com/s/1cvROgI 密码: uxtj
解压密码:样本交流圈子的国际通用解压密码
此样本已被各大杀软入库,EAV检查如下:
1、不下载更新有事么:
答:后果自理,中毒后别说你电脑有重要文件就行了
2、重装可以解决么:
答:重装无用,文件已经被加密了
3、已经中毒怎么办:
答:备份所有被加密的文件,期待有一天能被解密,然后格式化所有硬盘,重装系统。相比以往的勒索病毒,这次的WannaCry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金,因此很难给出相应的解密密钥(密钥是对应每一台电脑的,没有通用密钥)。
请不要轻易支付赎金(比特币),如上所述,即使支付了赎金,病毒作者也无法区分到底谁支付赎金并给出相应密钥。
4、什么时候能解密这些文件:
答:随机加密,出解密的可能性不高。网上流传一些“解密方法”,甚至有人说病毒作者良心发现,已经公布了解密密钥,这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样,是无法解密的,请不要相信任何可以解密的谎言,防止上当受骗。
5、如何查看windows版本
答:使用快捷键win+r,输入winver,检查windows版本
确保你下载的补丁版本和你系统版本一致,其余版本的补丁等微软能访问的时候我会发的
6、提示
答:打开系统更新并重启后安装
7、怎么打开系统更新
答:下载https://pan.baidu.com/s/1nvSFyid
8、安装完补丁后需要关闭更新么
答:建议关闭
9、版本是1607,系统更新也打开了,但是提示
答:下载此检测漏洞是否存在.exe
https://pan.baidu.com/s/1nvSFyid
检测是否存在漏洞,如果不存在,则已经修复
注,原作360,修复方式是安装360打补丁,所以我把在线下载360的模块删掉了,要修复可参考10
10、因为电脑管家等之前的漏洞修补功能导致无法安装更新,怎么处理?
答:使用快捷键win+x,选择命令提示符(管理员),复制下方代码粘贴进去点回车即可。
netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445
注意,10中的方法为使用防火墙阻断445端口(受影响范围为局域网中的打印机),这代表如果你关闭防火墙后则会有中毒危险。
11、哪些文件受到影响?
答:已知如下会受到影响:
.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;
12、某些公司发布了解密工具,是攻破了病毒么?
答:参考3和4,目前的解密工具,其原理是恢复被删除的文件,这个病毒存在一个致命漏洞,即生成加密文件后会删除正常的文件,所以可以通过误删文件找回工具来获取到一定的数据,但由于相关原因,这种恢复无法保证质量,所以及时打补丁还是很有必要的。
粉丝可关注公众号:大学生的电脑课,获取最新动态。博客即将关闭
软件无法下载/安装/其它电脑问题,加企鹅群:709531763
有问题直接群里问,在线的时候有问必答,私聊一般都不看
想学电脑知识可以关注我的公众号[大学生的电脑课],里面没有软件只有教程,SB勿来
呃……我win8.1提都提不到了吗……………………笑哭。
2017年5月13日 下午11:14嗯……还是建议开自动更新补丁吧。