[問題] WanaCrypt0r 2.0 解毒請益
請教一下
如果要手動解毒,透過以下步驟是否有效
1. 拔網路線,避免漏洞修復前再度遭受攻擊
2. 進安全模式,避免病毒一開機就在背景執行
3. 搜尋磁碟中的 mssecsvc.exe 、 tasksche.exe
、及隨機命名的資料夾(內有tasksche.exe),並刪除之
C:\Windows\mssecsvc.exe
C:\Windows\tasksche.exe
C:\ProgramData\隨機命名的資料夾
4. 執行 regedit
5. 搜尋 mssecsvc.exe 與 tasksche.exe ,並刪除相關登錄碼
mssecsvc2.0
隨機命名
6. 搜尋磁碟中的 @WanaDecryptor@.exe ,並刪除之
7. 重新啟動電腦
8. 透過隨身硬碟或光碟,安裝 Windows離線更新套件
※ 引述《ChoDino ()》之銘言:
: 文章看都看完了,順便翻譯一下。
: 以下是這病毒會做的事。
: ----
: 1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。
: 2. 送出HTTP請求給特定網域名,確認是否傳播。
: 3. mssecsvc2.0 服務被創建,這個服務會再次執行 mssecsvc.exe
: 3.1 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP
: 3.2 連結成功便會開始傳送資料。(這邊可能是感染其他被連結的電腦)
: 4. tasksche.exe 開始找所有儲存裝置,包含網路資料夾、USB、隨身硬碟
: 5. 找硬碟裡副檔名符合以下列表的檔案,並以 2048-bit RSA 加密
: 常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi)
: 罕見文件檔 (.sxw, .odt, .hwp)
: 壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv)
: 電子郵件相關 (.eml, .msg, .ost, .pst, .edb)
: 資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd)
: 程式碼相關 (.php, .java, .cpp, .pas, .asm)
: 加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
: 設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd)
: 虛擬機器相關 (.vmx, .vmdk, .vdi)
: 6. 新增一個資料夾"Tor",裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe
: 、taskse.exe
: 7. taskse.exe 開啟 @wanadecryptor@.exe 跳出勒索訊息給你看
: taskdl.exe 刪除暫存檔
: tasksche.exe 尋找符合格式的檔案並加密
: 8. 當你想付款的時候就會啟動 Tor.exe
: (Tor本身無害,他只是被用來創造全匿名的連線,跟他最有關係的是暗網)
: 9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原)
: http://imgur.com/S3l9KHE
: 10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限
: attrib +h [[Drive:][Path] FileName] [/s[/d]]
: icacls . /grant Everyone:F /T /C /Q
: 差不多就做這些事.. 2048-bit RSA 沒有 key 要解密幾乎不可能。
: 若有錯誤麻煩指正,感謝。
: ----
: 以上來源
: http://blog.talosintelligence.com/2017/05/wannacry.html
: https://securelist.com/blog/incidents/78351
: https://technet.microsoft.com/en-us/library/bb490868.aspx
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.168.35.206
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494841954.A.ECC.html
→
05/15 18:29, , 1F
05/15 18:29, 1F
→
05/15 18:58, , 2F
05/15 18:58, 2F
→
05/15 18:58, , 3F
05/15 18:58, 3F
→
05/15 18:58, , 4F
05/15 18:58, 4F
推
05/15 19:04, , 5F
05/15 19:04, 5F
→
05/15 19:05, , 6F
05/15 19:05, 6F
→
05/15 19:06, , 7F
05/15 19:06, 7F
→
05/15 19:06, , 8F
05/15 19:06, 8F
→
05/15 19:08, , 9F
05/15 19:08, 9F
→
05/15 19:20, , 10F
05/15 19:20, 10F
推
05/15 19:23, , 11F
05/15 19:23, 11F
→
05/15 19:23, , 12F
05/15 19:23, 12F
→
05/15 19:27, , 13F
05/15 19:27, 13F
→
05/15 19:27, , 14F
05/15 19:27, 14F
→
05/15 19:30, , 15F
05/15 19:30, 15F
→
05/15 19:30, , 16F
05/15 19:30, 16F
→
05/15 19:52, , 17F
05/15 19:52, 17F
→
05/19 16:26, , 18F
05/19 16:26, 18F
→
05/19 16:27, , 19F
05/19 16:27, 19F
→
05/19 16:27, , 20F
05/19 16:27, 20F