查看: 17207|回复: 65
收起左侧

[一般话题] Wanna Cry 2017

[复制链接]
ELOHIM
发表于 2017-5-13 12:56:24 | 显示全部楼层 |阅读模式
MSE区很平静。
发个贴子。

http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2088953&pid=39866516

昨天凌晨时分,失眠睡不着,索性分析样本,不巧找到了 exe 的解压密码。

[mw_shl_code=html,true]% s \ I n t e l     % s \ P r o g r a m D a t a     cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d    Global\MsWinZonesCacheCounterMutexA tasksche.exe    TaskStart   t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i
[/mw_shl_code]

那么,该文件解压密码为:WNcry@2ol7

——————————————

全国,全世界昨天都陷入文件被勒索的恐慌中。
备份备份,安全及时有效地备份。别无他法。
依赖任何一款反病毒软件来保障安全,都不现实。
滞后性,小面积先中招等等方案都预示必须有一部分人“身先士卒”。

把习惯改改,谨慎双击,小心点击不明链接,小心处理附件和邮件等。
否则,你必须为自己的鲁莽和大意埋单。
别让移动硬盘插在电脑上面不拔下来。
接口老不老化我不知道,被勒索感染,哭也晚了。

陷阱重重,你能孤身一人在互联世界走多远?

我们用别人开发的安全软件、应用软件、硬件、系统,
反过来却希望他们对自己百利而无一害。
是我们太天真了。

我们需要那些软硬件完成工作,
而他们,需要我们的日日夜夜年年月月的数据并且还要变现,要挣钱。
说太多了……   

Wanna Cry 2017                
maomao110
发表于 2017-5-13 15:41:26 | 显示全部楼层
看不懂  就一个问题   病毒爆发式后  WD能杀吗
第一批能杀的有哪些啊
ELOHIM
 楼主| 发表于 2017-5-13 15:44:25 | 显示全部楼层
maomao110 发表于 2017-5-13 15:41
看不懂  就一个问题   病毒爆发式后  WD能杀吗
第一批能杀的有哪些啊

猫猫看我的帖子啊。
第一时间SCEP虚拟机下是不杀那个 1.exe (此文件有密码,1楼已经放出了)的。
但是双击直接给出了病毒名和恶意行为(ransom wncrypt )。
但是微软并没有入库,却可以防御了。
今天微软才更新了wncrypt 信息。

第一批都有谁可以杀,就不知道了……

PS ,不知道说错话没有……
ccboxes
发表于 2017-5-13 16:24:11 | 显示全部楼层
本帖最后由 ccboxes 于 2017-5-13 16:26 编辑
ELOHIM 发表于 2017-5-13 15:44
猫猫看我的帖子啊。
第一时间SCEP虚拟机下是不杀那个 1.exe (此文件有密码,1楼已经放出了)的。
但是 ...
我们用别人开发的安全软件、应用软件、硬件、系统,
反过来却希望他们对自己百利而无一害。
是我们太天真了。

我们需要那些软硬件完成工作,
而他们,需要我们的日日夜夜年年月月的数据并且还要变现,要挣钱。
说太多了…

你的意思是这次爆发是安软厂商的阴谋对吧,如果不是还是删掉的好,想感慨、想玩阴谋论去茶室,怎么水都没关系。


具体到这个样本,手段还是太粗糙,Exploit抄的NSA的东西,挺完美,然后就暴露了作者的经验不足,shellcode搞到管理员权限之后,竟然是仅仅充当下载器去下病毒本体到ProgramData,就这个过程很可能就被安软的实时监控干掉了。下下来的是普通的exe,没有注入系统进程,后续动作没有逃过安软行为分析的可能。你可以去知乎上看,昨晚爆发时360拦截成功,Avast的IDP也成功,这就意味着几大厂的主防都没有问题。只能说,这种毒都能全球爆发,暴露了多少人毫不在乎安全,连一个正经大厂的安软都不愿意装。
那也从侧面证明,现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。

胡扯,主防杀是绝对没有问题的,这种密码写在自己数据里的自解压病毒各大的脱壳器也可以应对。


ELOHIM
 楼主| 发表于 2017-5-13 16:38:11 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-5-13 16:39 编辑
ccboxes 发表于 2017-5-13 16:24
你的意思是这次爆发是安软厂商的阴谋对吧,如果不是还是删掉的好,想感慨、想玩阴谋论去茶室,怎么水都 ...

感谢指正。

其实这种想法由来已久,只是没有表达。
不止安全软件,还有其他软件。

有一些想法的确未经认证,但是这方面的担忧是的确存在的。
我们对于他们的限制或者说监管,可以说:做不到。

ISP数据,微软操作系统的数据,其他IM软件数据,安全软件的数据我们基本无力监管。
他们说什么就是什么,并且还有一堆许可协议隐私条款遵守。

用户的权利,只限于“读写说看听”等基本的使用,想都不要想去知道背后的事情。

安全软件会上传什么样的信息到服务器后台给别人看,我真的想看看那写数据。
不是阴谋论啊,大神……

这次漏洞攻击做好防范很简单,但是那些用户认为这些事跟自己无关。
他们会推给杀毒软件或者网络管理。
——————
刚刚微软更新一个漏洞,但是没有细节,2006年的,是这个漏洞吗??
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Exploit:Win32/Shellcode&ThreatID=-2147406041

ccboxes
发表于 2017-5-13 16:40:31 | 显示全部楼层
ELOHIM 发表于 2017-5-13 16:38
感谢指正。

其实这种想法由来已久,只是没有表达。

既然你认为数据共享是需要担忧的,那你应该断网。各大的云也都可以关闭,反正后果自担。
maomao110
发表于 2017-5-13 17:22:12 | 显示全部楼层
ELOHIM 发表于 2017-5-13 15:44
猫猫看我的帖子啊。
第一时间SCEP虚拟机下是不杀那个 1.exe (此文件有密码,1楼已经放出了)的。
但是 ...

仔细看过了 还是不太懂
ELOHIM
 楼主| 发表于 2017-5-13 17:23:23 | 显示全部楼层
maomao110 发表于 2017-5-13 17:22
仔细看过了 还是不太懂

maomao so shy..
HEMM
发表于 2017-5-13 17:28:34 | 显示全部楼层
我只知道WD很容易坏掉,且不可修复,只能通过重装系统或者更新到新版解决,但很快还是会坏掉,除非你不用第三方安软。
我这边就一个BUG豆防火墙,莫名奇妙的实时监控和其服务开机无法自动开启,非要手动。
看来WD是能独当一面了,搭配党吃枣药丸!
ELOHIM
 楼主| 发表于 2017-5-13 17:29:56 | 显示全部楼层
HEMM 发表于 2017-5-13 17:28
我只知道WD很容易坏掉,且不可修复,只能通过重装系统或者更新到新版解决,但很快还是会坏掉,除非你 ...

我这里没有“坏掉”过呢。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 23:12 , Processed in 0.131213 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表