Wanna Cry 2017

ELOHIM

MSE区很平静。
发个贴子。

http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2088953&pid=39866516

昨天凌晨时分，失眠睡不着，索性分析样本，不巧找到了 exe 的解压密码。

[mw_shl_code=html,true]% s \ I n t e l     % s \ P r o g r a m D a t a     cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d    Global\MsWinZonesCacheCounterMutexA tasksche.exe    TaskStart   t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i
[/mw_shl_code]

那么，该文件解压密码为：WNcry@2ol7

——————————————

全国，全世界昨天都陷入文件被勒索的恐慌中。
备份备份，安全及时有效地备份。别无他法。
依赖任何一款反病毒软件来保障安全，都不现实。
滞后性，小面积先中招等等方案都预示必须有一部分人“身先士卒”。

把习惯改改，谨慎双击，小心点击不明链接，小心处理附件和邮件等。
否则，你必须为自己的鲁莽和大意埋单。
别让移动硬盘插在电脑上面不拔下来。
接口老不老化我不知道，被勒索感染，哭也晚了。

陷阱重重，你能孤身一人在互联世界走多远？

我们用别人开发的安全软件、应用软件、硬件、系统，
反过来却希望他们对自己百利而无一害。
是我们太天真了。

我们需要那些软硬件完成工作，
而他们，需要我们的日日夜夜年年月月的数据并且还要变现，要挣钱。
说太多了……   

Wanna Cry 2017                

maomao110

看不懂  就一个问题   病毒爆发式后  WD能杀吗
第一批能杀的有哪些啊

ELOHIM

maomao110 发表于 2017-5-13 15:41
看不懂  就一个问题   病毒爆发式后  WD能杀吗
第一批能杀的有哪些啊

猫猫看我的帖子啊。
第一时间SCEP虚拟机下是不杀那个 1.exe （此文件有密码，1楼已经放出了）的。
但是双击直接给出了病毒名和恶意行为（ransom wncrypt ）。
但是微软并没有入库，却可以防御了。
今天微软才更新了wncrypt 信息。

第一批都有谁可以杀，就不知道了……

PS ，不知道说错话没有……

ccboxes

ELOHIM 发表于 2017-5-13 15:44
猫猫看我的帖子啊。
第一时间SCEP虚拟机下是不杀那个 1.exe （此文件有密码，1楼已经放出了）的。
但是 ...

我们用别人开发的安全软件、应用软件、硬件、系统，
反过来却希望他们对自己百利而无一害。
是我们太天真了。

我们需要那些软硬件完成工作，
而他们，需要我们的日日夜夜年年月月的数据并且还要变现，要挣钱。
说太多了…

你的意思是这次爆发是安软厂商的阴谋对吧，如果不是还是删掉的好，想感慨、想玩阴谋论去茶室，怎么水都没关系。


具体到这个样本，手段还是太粗糙，Exploit抄的NSA的东西，挺完美，然后就暴露了作者的经验不足，shellcode搞到管理员权限之后，竟然是仅仅充当下载器去下病毒本体到ProgramData，就这个过程很可能就被安软的实时监控干掉了。下下来的是普通的exe，没有注入系统进程，后续动作没有逃过安软行为分析的可能。你可以去知乎上看，昨晚爆发时360拦截成功，Avast的IDP也成功，这就意味着几大厂的主防都没有问题。只能说，这种毒都能全球爆发，暴露了多少人毫不在乎安全，连一个正经大厂的安软都不愿意装。

那也从侧面证明，现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。

胡扯，主防杀是绝对没有问题的，这种密码写在自己数据里的自解压病毒各大的脱壳器也可以应对。

ELOHIM

ccboxes 发表于 2017-5-13 16:24
你的意思是这次爆发是安软厂商的阴谋对吧，如果不是还是删掉的好，想感慨、想玩阴谋论去茶室，怎么水都 ...

感谢指正。

其实这种想法由来已久，只是没有表达。
不止安全软件，还有其他软件。

有一些想法的确未经认证，但是这方面的担忧是的确存在的。
我们对于他们的限制或者说监管，可以说：做不到。

ISP数据，微软操作系统的数据，其他IM软件数据，安全软件的数据我们基本无力监管。
他们说什么就是什么，并且还有一堆许可协议隐私条款遵守。

用户的权利，只限于“读写说看听”等基本的使用，想都不要想去知道背后的事情。

安全软件会上传什么样的信息到服务器后台给别人看，我真的想看看那写数据。
不是阴谋论啊，大神……

这次漏洞攻击做好防范很简单，但是那些用户认为这些事跟自己无关。
他们会推给杀毒软件或者网络管理。
——————
刚刚微软更新一个漏洞，但是没有细节，2006年的，是这个漏洞吗？？
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Exploit:Win32/Shellcode&ThreatID=-2147406041

ccboxes

ELOHIM 发表于 2017-5-13 16:38
感谢指正。

其实这种想法由来已久，只是没有表达。

既然你认为数据共享是需要担忧的，那你应该断网。各大的云也都可以关闭，反正后果自担。

maomao110

ELOHIM 发表于 2017-5-13 15:44
猫猫看我的帖子啊。
第一时间SCEP虚拟机下是不杀那个 1.exe （此文件有密码，1楼已经放出了）的。
但是 ...

仔细看过了 还是不太懂

ELOHIM

maomao110 发表于 2017-5-13 17:22
仔细看过了 还是不太懂

maomao so shy..

HEMM

我只知道WD很容易坏掉，且不可修复，只能通过重装系统或者更新到新版解决，但很快还是会坏掉，除非你不用第三方安软。
我这边就一个BUG豆防火墙，莫名奇妙的实时监控和其服务开机无法自动开启，非要手动。
看来WD是能独当一面了，搭配党吃枣药丸！

ELOHIM

HEMM 发表于 2017-5-13 17:28
我只知道WD很容易坏掉，且不可修复，只能通过重装系统或者更新到新版解决，但很快还是会坏掉，除非你 ...

我这里没有“坏掉”过呢。