Re: [新聞] 勒索病毒再次席捲全球

看板AntiVirus作者 (便當俠)時間6年前 (2017/06/28 12:18), 6年前編輯推噓20(20020)
留言40則, 21人參與, 最新討論串3/3 (看更多)
※ 引述《imasa (便當俠)》之銘言: : https://goo.gl/CB4HE6 : According to several sources : the author of this new Petya strain appears to have taken inspiration from : last month's WannaCry outbreak, and added a similar SMB work based on the : NSA's ETERNALBLUE exploit. This has been confirmed by : Payload Security, Avira, Emsisoft, Bitdefender, Symantec, : and other security researchers. : 一樣是利用之前SMB漏洞EternalBlue的勒索病毒 : 看來是受到Wannacry的啟發 https://blog.kryptoslogic.com/malware/2017/06/28/petya.html 目前為止的分析文 除了原本的EternalBlue感染方式外 Petya還加上利用Psexec和Wmic的Laternal Movement手法 去執行mimikatz 來dump 當前電腦的credential 之所以更新還會中招的電腦 就是因為自己的credenial有在這些被感染的電腦內 更新防範方式: [短期] 先擋目前這波的Petya 在以下路徑下新增檔案並設唯讀 C:\Windows\perfc C:\Windows\perfc.dll C:\Windows\perfc.dat 這幾個路徑是Petya的工作檔案,如果檔案讀取失敗Petya就會停止執行 可能對之後的變種無效 [長期] 1. Firewall阻擋139和445 port (for psexec) 2. 停用Winmgmt(Windows Management Instrumentation)服務 (for wmic) 3. 停用SMBv1或更新MS17-010 patch -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.120.24.158 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1498623521.A.92B.html
06/28 12:24, , 1F
這個要怎麼防範呢
06/28 12:24, 1F
06/28 13:14, , 2F
FW連入規則 關閉445
06/28 13:14, 2F
※ 編輯: imasa (59.120.24.158), 06/28/2017 13:32:03
06/28 13:50, , 3F
06/28 13:50, 3F
06/28 14:04, , 4F
能解釋一下 1.2項後的for wmic跟psexec 是什麼意思?
06/28 14:04, 4F
06/28 14:05, , 5F
請問 停用Winmgmt是否會影響電腦運作? 查了一下好像是什麼重
06/28 14:05, 5F
06/28 14:05, , 6F
要的系統服務? 不很是懂... @@
06/28 14:05, 6F
06/28 14:06, , 7F
關掉WMI不會有什麼副作用嗎
06/28 14:06, 7F
06/28 14:07, , 8F
for wmic跟psexec是指針對Petya的這個感染途徑
06/28 14:07, 8F
06/28 14:08, , 9F
關掉WMI會有很多副作用,不少合法服務依賴他運作
06/28 14:08, 9F
06/28 14:08, , 10F
所以請自己評估
06/28 14:08, 10F
06/28 14:10, , 11F
WMI主要作用在於可容許遠端登入電腦讀取系統服務資訊或
06/28 14:10, 11F
06/28 14:11, , 12F
執行某些指令
06/28 14:11, 12F
06/28 14:25, , 13F
帳戶沒有密碼控制的話WMI應該不會運作吧?
06/28 14:25, 13F
06/28 14:39, , 14F
Petya是用工具找出登入受害者電腦的帳號密碼的
06/28 14:39, 14F
06/28 14:39, , 15F
所以一台伺服器受感染,其他有存取這台機器的人都可能中招
06/28 14:39, 15F
06/28 14:49, , 16F
謝謝提供防範方法
06/28 14:49, 16F
06/28 15:08, , 17F
剛剛把WMI關閉 發現RDP還是可以用 只有security center會
06/28 15:08, 17F
06/28 15:08, , 18F
被關閉
06/28 15:08, 18F
06/28 15:59, , 19F
security center被關閉會有什麼影響嗎
06/28 15:59, 19F
06/28 16:19, , 20F
卡巴斯基不是已經說這波跟 Petya 是不同的嗎? 叫Expetr
06/28 16:19, 20F
06/28 18:49, , 21F
WMI下面依存的是ICS和IP Helper
06/28 18:49, 21F
06/28 19:02, , 22F
Win10會中嗎
06/28 19:02, 22F
06/28 19:08, , 23F
目前看起來機率應該會比win7或XP小,但就不表示沒有中獎的
06/28 19:08, 23F
06/28 19:09, , 24F
可能性,最好還是可以先依照原PO說法關閉相關功能吧!另外
06/28 19:09, 24F
06/28 19:09, , 25F
Security Center本身並沒有任何防護能力 而是檢查firewal
06/28 19:09, 25F
06/28 19:09, , 26F
l和防毒有無安裝開啟
06/28 19:09, 26F
06/28 19:10, , 27F
也可參考香港電腦保安事故協調中心(HKCERT)所提供防範措施
06/28 19:10, 27F
06/28 19:11, , 28F
06/28 19:11, 28F
06/28 20:15, , 29F
06/28 20:15, 29F
06/28 20:58, , 30F
謝謝sam613大分享 依guyrleech的建議做成一個reg檔 點兩下
06/28 20:58, 30F
06/28 21:00, , 31F
即完成阻止psexec的登錄https://sendit.cloud/yzydvuyikn8e
06/28 21:00, 31F
06/28 23:09, , 32F
樓上大大做的下載後執行就可以了嗎?謝謝~
06/28 23:09, 32F
06/28 23:10, , 33F
是的
06/28 23:10, 33F
06/28 23:40, , 34F
感謝^^
06/28 23:40, 34F
06/29 09:50, , 35F
長期措施只做第一項和第三項,沒停用WMI的話是否依舊會中招?
06/29 09:50, 35F
06/30 22:29, , 36F
其實就是關閉共享放棄區域網路
06/30 22:29, 36F
06/30 22:33, , 37F
比較麻煩的是很多宿舍內網本身就有問題而用戶還是習慣關
06/30 22:33, 37F
06/30 22:33, , 38F
牆關防毒.要架區網建議改用有密碼的hfs分享吧
06/30 22:33, 38F
07/03 05:33, , 39F
推這篇專業
07/03 05:33, 39F
07/19 18:41, , 40F
謝謝分享
07/19 18:41, 40F
更多 imasa 的文章
文章代碼(AID): #1PKouXah (AntiVirus)
更多 imasa 的文章
文章代碼(AID): #1PKouXah (AntiVirus)