Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

看板AntiVirus (防毒)作者時間7年前 (2017/05/13 15:50), 7年前編輯推噓24(25120)
留言46則, 29人參與, 最新討論串13/25 (看更多)
文章看都看完了,順便翻譯一下。 以下是這病毒會做的事。 ---- 1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。 2. 送出HTTP請求給特定網域名,確認是否傳播。 3. mssecsvc2.0 服務被創建,這個服務會再次執行 mssecsvc.exe 3.1 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP 3.2 連結成功便會開始傳送資料。(這邊可能是感染其他被連結的電腦) 4. tasksche.exe 開始找所有儲存裝置,包含網路資料夾、USB、隨身硬碟 5. 找硬碟裡副檔名符合以下列表的檔案,並以 2048-bit RSA 加密 常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi) 罕見文件檔 (.sxw, .odt, .hwp) 壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv) 電子郵件相關 (.eml, .msg, .ost, .pst, .edb) 資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd) 程式碼相關 (.php, .java, .cpp, .pas, .asm) 加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes) 設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd) 虛擬機器相關 (.vmx, .vmdk, .vdi) 6. 新增一個資料夾"Tor",裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe 、taskse.exe 7. taskse.exe 開啟 @wanadecryptor@.exe 跳出勒索訊息給你看 taskdl.exe 刪除暫存檔 tasksche.exe 尋找符合格式的檔案並加密 8. 當你想付款的時候就會啟動 Tor.exe (Tor本身無害,他只是被用來創造全匿名的連線,跟他最有關係的是暗網) 9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原) http://imgur.com/S3l9KHE
10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限 attrib +h [[Drive:][Path] FileName] [/s[/d]] icacls . /grant Everyone:F /T /C /Q 差不多就做這些事.. 2048-bit RSA 沒有 key 要解密幾乎不可能。 若有錯誤麻煩指正,感謝。 ---- 以上來源 http://blog.talosintelligence.com/2017/05/wannacry.html https://securelist.com/blog/incidents/78351 https://technet.microsoft.com/en-us/library/bb490868.aspx -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494661828.A.69B.html

05/13 15:55, , 1F
05/13 15:55, 1F

05/13 15:56, , 2F
感謝說明
05/13 15:56, 2F

05/13 15:56, , 3F
目前應該只有付錢解密一途能拿回資料了對嗎?
05/13 15:56, 3F

05/13 15:58, , 4F
要拿回資料只有付錢,不然就是一切重新開始
05/13 15:58, 4F

05/13 16:00, , 5F
我看有人說付錢也有可能解不了?
05/13 16:00, 5F
https://news.ycombinator.com/item?id=14328924 早上看 hacker news 討論看到這篇是滿有道理的。 大意是說這是比生意,如果一個付錢沒解的話,那其他人也不會跟著付,因為會一起感染 的大多在同一個空間。另外你很有可能不只一台電腦受感染。 另外有滿多會提供試解服務.. 就是幫你解一兩個檔案讓你信他可以解。 或許.. 有版友真的付了可以上來跟大家說吧.. 2048-bit RSA 是絕對可以解,前提是你有那一對 key, 我們在上網的 https 很多時 候就是用這種演算法的。

05/13 16:00, , 6F
RSA加密啊......
05/13 16:00, 6F

05/13 16:01, , 7F
應該說,不付錢一定沒解;有付有可能有解這樣。
05/13 16:01, 7F

05/13 16:01, , 8F
所以a片不會被加密?
05/13 16:01, 8F

05/13 16:02, , 9F
阿少看到....
05/13 16:02, 9F

05/13 16:02, , 10F
2048-bit RSA 要用"超級電腦"跑300年就有機會解密
05/13 16:02, 10F

05/13 16:04, , 11F
A片就別救了拜託
05/13 16:04, 11F
※ 編輯: ChoDino (117.56.162.73), 05/13/2017 16:12:11

05/13 16:08, , 12F
請問一下若avast有偵測到 mssecsvc那我算已經中了嗎
05/13 16:08, 12F

05/13 16:08, , 13F
但文件還沒被加密
05/13 16:08, 13F

05/13 16:10, , 14F
可能還沒 上面有案例是avast有偵測到 結果嫌太吵關掉後
05/13 16:10, 14F

05/13 16:11, , 15F
中獎了 你還是先更新和防範 畢竟防毒不是萬能的
05/13 16:11, 15F

05/13 16:11, , 16F
引清兵入關XDDDDD
05/13 16:11, 16F

05/13 16:14, , 17F
他可能一直要丟出tasksche.exe但是一直被avast擋下來。
05/13 16:14, 17F

05/13 16:23, , 18F
唔,之前我的comodo也怪怪的,..明天檢查一下好了,先斷網
05/13 16:23, 18F

05/13 16:40, , 19F
想請問 Tor資料夾建立在哪個位置?如果在未感染之前先建
05/13 16:40, 19F

05/13 16:40, , 20F
一個假的tasksche.exe 會被病毒覆蓋掉嗎?
05/13 16:40, 20F

05/13 16:48, , 21F
這沒人想實驗吧……樓上……
05/13 16:48, 21F

05/13 16:49, , 22F
可以用一台乾淨沒在用的電腦試試看啊
05/13 16:49, 22F

05/13 16:51, , 23F
2048bits要暴力也無法TAT
05/13 16:51, 23F

05/13 16:56, , 24F
紅明顯 我數學系的 RSA密碼當然可解 但沒私密鑰匙 暴力
05/13 16:56, 24F

05/13 16:56, , 25F
破解 要幾十年 =.=
05/13 16:56, 25F

05/13 17:04, , 26F
所以說要等以後科技更進步,30年後可能1秒就解了...
05/13 17:04, 26F

05/13 17:14, , 27F
還刪shadow copy...沒良心XD
05/13 17:14, 27F

05/13 17:19, , 28F
30年後還是要再30年才能解 量子電腦可以設定更複雜的演算法
05/13 17:19, 28F

05/13 17:20, , 29F
你拿現在電腦破解30年前的加密可能秒開 類似這個道理
05/13 17:20, 29F

05/13 17:26, , 30F
想問 24樓 如果有數組加密前加密後的檔案 能否回推密鑰的
05/13 17:26, 30F

05/13 17:26, , 31F
內容 純好奇
05/13 17:26, 31F

05/13 17:37, , 32F
好狠連虛擬機器相關也加密
05/13 17:37, 32F

05/13 17:47, , 33F
如果被加密的檔案有一模一樣的備份,那可以推算出密碼
05/13 17:47, 33F

05/13 17:47, , 34F
05/13 17:47, 34F

05/13 17:52, , 35F
加密的副檔名有沒有包括 TrueImage的tib和vhd檔?
05/13 17:52, 35F

05/13 17:52, , 36F
可以推回去,就算用光人的壽命時間,也還沒解秘完畢
05/13 17:52, 36F

05/13 17:59, , 37F
先去估狗RSA非對稱加密演算法 你就知這問題很ooxx
05/13 17:59, 37F

05/13 18:11, , 38F
2048 Bit + RSA 給超級電腦算100年看有沒有希望
05/13 18:11, 38F

05/13 18:25, , 39F
推 長知識
05/13 18:25, 39F

05/13 18:53, , 40F
看了一下壓縮副檔名 好像沒有7z
05/13 18:53, 40F

05/13 20:04, , 41F
推說明
05/13 20:04, 41F

05/13 20:34, , 42F
可以推算阿 不過要用到超級電腦+百年時間去演算破解
05/13 20:34, 42F

05/14 02:44, , 43F
我記得加密檔案本身是用對稱式金鑰(例如AES)
05/14 02:44, 43F

05/14 02:44, , 44F
這樣加密檔案的速度才夠快,然後這把對稱式key再用RSA加
05/14 02:44, 44F

05/14 02:45, , 45F
密,所以付款其實是買RSA私鑰
05/14 02:45, 45F

05/14 19:46, , 46F
文章代碼(AID): #1P5hh4QR (AntiVirus)
討論串 (同標題文章)
文章代碼(AID): #1P5hh4QR (AntiVirus)