楼主: fakeviolation
收起左侧

[交流探讨] 用虚拟机试了局域网传染的WannaCry勒索软件

[复制链接]
fakeviolation
 楼主| 发表于 2017-6-11 17:18:36 | 显示全部楼层
liumeng1 发表于 2017-6-11 17:14
这东西到底怎么防啊 不想关闭端口啊

打好补丁,设置强密码。
milben
发表于 2017-6-11 17:25:45 | 显示全部楼层
本帖最后由 milben 于 2017-6-11 17:28 编辑

说一点: 卡巴司机的Network Attack Blocker可以直接在网络层阻止EternalBlue(在不拦截445端口的前提下). 不过这条特征在5月12号才加进去,

参见:  https://www.mrg-effitas.com/eter ... extgen-protections/
fakeviolation
 楼主| 发表于 2017-6-11 17:32:13 | 显示全部楼层
milben 发表于 2017-6-11 17:25
说一点: 卡巴司机的Network Attack Blocker可以直接在网络层阻止EternalBlue(在不拦截445端口的前提下).  ...

赞一个……
@liumeng1 可以看看这个
另外,360好像也有热补丁吧?不知道他们是什么时候做的。
fakeviolation
 楼主| 发表于 2017-6-11 18:30:47 | 显示全部楼层
本帖最后由 fakeviolation 于 2017-6-11 18:50 编辑
ccboxes 发表于 2017-6-11 16:30
你截得第三个图最下面一个按钮是啥。。。。。。。。。。

另外也没有区别,WannaCry我写过一篇小分析, ...

【这段编辑到9楼了】
ccboxes
发表于 2017-6-11 18:35:03 | 显示全部楼层
fakeviolation 发表于 2017-6-11 18:30
把虚拟机A恢复了快照,重装了卡巴斯基,虚拟机B是Win7 SP1 x64,现在又重现出防御失败的情况了。
点了“ ...

有可能是测试环境不同引起的,我这里当时测的是Win10 X64 611e版的卡巴,没有问题。

等我再开一波试试。

fakeviolation
 楼主| 发表于 2017-6-11 18:38:38 | 显示全部楼层
ccboxes 发表于 2017-6-11 18:35
有可能是测试环境不同引起的,我这里当时测的是Win10 X64 611e版的卡巴,没有问题。

等我再开一波试试 ...

不过,貌似发现了WannaCry的另一个bug:XP下,感染同网段机器时,会跳过大段的IP。
也许这可以部分解释统计数据上XP的中招率没那么高(比如一个内网全是XP的情况)?哈哈。
fakeviolation
 楼主| 发表于 2017-6-11 18:41:01 | 显示全部楼层
ccboxes 发表于 2017-6-11 18:35
有可能是测试环境不同引起的,我这里当时测的是Win10 X64 611e版的卡巴,没有问题。

等我再开一波试试 ...

还有,Win10虽然也需要打MS17-010补丁才能完全修复有关漏洞,但EternalBlue原本是不支持Win10的,最近才被安全研究人员移植到Win10(而且没公开),用Win10测试可能更加偏离当时病毒在内网传染的情况吧……
ccboxes
发表于 2017-6-11 18:41:17 | 显示全部楼层
fakeviolation 发表于 2017-6-11 18:38
不过,貌似发现了WannaCry的另一个bug:XP下,感染同网段机器时,会跳过大段的IP。
也许这可以部分解释 ...

你重新的结果如何?

我看你上一个回复好像是能防御,主贴的结果是否能够复制?
ccboxes
发表于 2017-6-11 18:42:45 | 显示全部楼层
fakeviolation 发表于 2017-6-11 18:41
还有,Win10虽然也需要打MS17-010补丁才能完全修复有关漏洞,但EternalBlue原本是不支持Win10的,最近才 ...

你都看过我的帖子了,完全没区别的。Exploit下载病毒到ProgramData,管理员权限执行,接着就没有后续了。
pal家族
发表于 2017-6-11 18:45:20 | 显示全部楼层
milben 发表于 2017-6-11 17:25
说一点: 卡巴司机的Network Attack Blocker可以直接在网络层阻止EternalBlue(在不拦截445端口的前提下).  ...

哪里提到是512添加的IDS拦截特征?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 08:30 , Processed in 0.093940 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表