WanaCrypt0r.Ransom (17.05.12)

显示全部楼层 · 发表于 2017-5-13 00:48:58

本帖最后由 ELOHIM 于 2017-5-13 02:09 编辑

SCEP 双击干掉。
————————
[mw_shl_code=html,true]日志名称:       System
来源:          Microsoft Antimalware
日期:          2017/5/13 0:21:32
事件 ID:       1116
任务类别:       无
级别:          警告
关键字:          经典
用户:          暂缺
计算机:          PC-PC
描述:
Microsoft 反恶意软件已检测到恶意软件或其他可能不需要的软件。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... 721381&enterprise=1
      名称: Ransom:Win32/WannaCrypt
      ID: 2147721381
      严重性: 严重
      类别: 特洛伊木马
      路径: file:_C:\Users\PC\Desktop\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\u.wnry
      检测原点: 本地计算机
      检测类型: 动态签名
      检测源: 实时保护
      用户: PC-PC\PC
      进程名称: C:\Windows\explorer.exe
      签名版本: AV: 1.243.282.0, AS: 1.243.282.0, NIS: 116.88.0.0
      引擎版本: AM: 1.1.13704.0, NIS: 2.1.12706.0
_________________________________________________________________________________________
Microsoft 反恶意软件已检测到恶意软件或其他可能不需要的软件。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... 721381&enterprise=1
      名称: Ransom:Win32/WannaCrypt
      ID: 2147721381
      严重性: 严重
      类别: 特洛伊木马
      路径: file:_C:\Users\PC\Desktop\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\u.wnry
      检测原点: 本地计算机
      检测类型: 动态签名
      检测源: 实时保护
      用户: PC-PC\PC
      进程名称: C:\Users\PC\Downloads\1.exe
      签名版本: AV: 1.243.282.0, AS: 1.243.282.0, NIS: 116.88.0.0
      引擎版本: AM: 1.1.13704.0, NIS: 2.1.12706.0[/mw_shl_code]
_________________________________________________________________________________________

_________________________________________________________________________________________

但是母体还是不杀。因为其是加密的。
那也从侧面证明，现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。
解压密码如果可以破解则另说。

因为虚拟机，性能低下，造成所有文件被加密。
SCEP一边杀一边加密，持续过程进半小时之久。
现在宿主机磁盘还是100%。
相信硬件好的情况下不会出现这种情况。

需要特别说明的是：只读文件被加密。
所以面对勒索软件最好的方法还是及时有效地安全备份。
而并不是严重依赖于任何一款安全软件。
疏漏在所难免。
讽刺的是，高查杀好像更具诱惑性、误导性。
很有一种“我不会防不住的“感觉/”没有我杀不掉的病毒“的感觉。

不知NTFS禁止写入凑不凑效。  平安喜乐。
_________________________________________________________________________________________
补充：如果将加密图片手动改回以前扩展名（虽然并不能看），
那么经过一分钟左右时间以后文件将被彻底删除。
_________________________________________________________________________________________
再补充：
[mw_shl_code=html,true]% s \ I n t e l    % s \ P r o g r a m D a t a    cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d Global\MsWinZonesCacheCounterMutexA tasksche.exe TaskStart t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i[/mw_shl_code]
那么，该文件解压密码为：
WNcry@2ol7

Wanna Cry 2017
黑客大神也蛮有趣。

_________________________________________________________________________________________
加密文件类型：
[mw_shl_code=sql,true] .der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc[/mw_shl_code]

这个勒索使用了三个重要的文件分别是：cmd.exe|icacls.exe|attrib.exe 。
如果日常没有那么频繁的安装升级软件打补丁，
设置好系统以后，可以禁用他们了吧？

相关链接：http://cn.bing.com/search?q=WNcry%402ol7

终结。睡觉。

显示全部楼层 · 发表于 2017-5-13 00:53:21

本帖最后由 petr0vic 于 2017-5-13 00:54 编辑

https://intel.malwaretech.com/botnet/wcrypt
https://intel.malwaretech.com/WannaCrypt.html

显示全部楼层 · 发表于 2017-5-13 01:57:51

这隻病毒，在今晚可是超级轰动阿
台湾灾情超级惨

显示全部楼层 · 发表于 2017-5-13 02:09:05

本帖最后由 Dolby123 于 2017-5-13 02:52 编辑

petr0vic 发表于 2017-5-13 00:53
https://intel.malwaretech.com/botnet/wcrypt
https://intel.malwaretech.com/WannaCrypt.html

[mw_shl_code=css,true]https://intel.malwaretech.com/WannaCrypt.html[/mw_shl_code]
动态信息哇 botnet live feed , 中国和俄罗斯最多被感染。时间一久，绿点越来越多了

25分钟之后

显示全部楼层 · 发表于 2017-5-13 04:21:14

WannaCry ransomware used in widespread attacks all over the world
https://securelist.com/blog/inci ... all-over-the-world/

显示全部楼层 · 发表于 2017-5-13 04:32:49

本帖最后由 Dolby123 于 2017-5-13 04:34 编辑

another interesting article
http://www.bbc.com/news/technology-39901382

A patch for the vulnerability was released by Microsoft in March, but many systems may not have had the update installed.

显示全部楼层 · 发表于 2017-5-13 08:06:23

毒霸扫描miss

显示全部楼层 · 发表于 2017-5-13 09:32:03

Eset小粉絲发表于 2017-5-12 20:26
avira
Detection: TR/AD.RansomHeur.ed01eb (Cloud)

Avira Free在病毒爆發當下被過了......

显示全部楼层 · 发表于 2017-5-13 09:49:47

瑞星
Malware.Heuristic!ET#89%-vZkqDj6QDKF

显示全部楼层 · 发表于 2017-5-13 10:59:18

ELOHIM 发表于 2017-5-13 00:48
SCEP 双击干掉。
————————
[mw_shl_code=html,true]日志名称: System

那也从侧面证明，现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。

这个我反对，看楼上ESET的报毒名，绝不是拉黑，人家报毒名都那么准确，是基因杀啊

[病毒样本] WanaCrypt0r.Ransom (17.05.12)

本帖子中包含更多资源

评分

本帖子中包含更多资源