[問題] WanaCrypt0r 2.0 解毒請益

看板AntiVirus作者FT6034 (耐心等待)時間7年前 (2017/05/15 17:52)推噓2(2推 0噓 18→)

留言20則, 8人參與討論串1/1

請教一下如果要手動解毒，透過以下步驟是否有效 1. 拔網路線，避免漏洞修復前再度遭受攻擊 2. 進安全模式，避免病毒一開機就在背景執行 3. 搜尋磁碟中的 mssecsvc.exe 、 tasksche.exe 、及隨機命名的資料夾(內有tasksche.exe)，並刪除之 C:\Windows\mssecsvc.exe C:\Windows\tasksche.exe C:\ProgramData\隨機命名的資料夾 4. 執行 regedit 5. 搜尋 mssecsvc.exe 與 tasksche.exe ，並刪除相關登錄碼 mssecsvc2.0 隨機命名 6. 搜尋磁碟中的 @WanaDecryptor@.exe ，並刪除之 7. 重新啟動電腦 8. 透過隨身硬碟或光碟，安裝 Windows離線更新套件 ※ 引述《ChoDino ()》之銘言： : 文章看都看完了，順便翻譯一下。 : 以下是這病毒會做的事。 : ---- : 1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。 : 2. 送出HTTP請求給特定網域名，確認是否傳播。 : 3. mssecsvc2.0 服務被創建，這個服務會再次執行 mssecsvc.exe : 3.1 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP : 3.2 連結成功便會開始傳送資料。（這邊可能是感染其他被連結的電腦） : 4. tasksche.exe 開始找所有儲存裝置，包含網路資料夾、USB、隨身硬碟 : 5. 找硬碟裡副檔名符合以下列表的檔案，並以 2048-bit RSA 加密 : 常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi) : 罕見文件檔 (.sxw, .odt, .hwp) : 壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv) : 電子郵件相關 (.eml, .msg, .ost, .pst, .edb) : 資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd) : 程式碼相關 (.php, .java, .cpp, .pas, .asm) : 加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes) : 設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd) : 虛擬機器相關 (.vmx, .vmdk, .vdi) : 6. 新增一個資料夾"Tor"，裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe : 、taskse.exe : 7. taskse.exe 開啟 @wanadecryptor@.exe 跳出勒索訊息給你看 : taskdl.exe 刪除暫存檔 : tasksche.exe 尋找符合格式的檔案並加密 : 8. 當你想付款的時候就會啟動 Tor.exe : (Tor本身無害，他只是被用來創造全匿名的連線，跟他最有關係的是暗網) : 9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原) : http://imgur.com/S3l9KHE

: 10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限 : attrib +h [[Drive:][Path] FileName] [/s[/d]] : icacls . /grant Everyone:F /T /C /Q : 差不多就做這些事.. 2048-bit RSA 沒有 key 要解密幾乎不可能。 : 若有錯誤麻煩指正，感謝。 : ---- : 以上來源 : http://blog.talosintelligence.com/2017/05/wannacry.html : https://securelist.com/blog/incidents/78351 : https://technet.microsoft.com/en-us/library/bb490868.aspx -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.168.35.206 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494841954.A.ECC.html

→

sa12e3

05/15 18:29, , 1^F

05/15 18:29, 1^F