PTT數位生活區 / AntiVirus (防毒)

[問題] 小紅傘似乎有擋住Wanacry 更新完就沒事了嗎?

看板AntiVirus (防毒)作者 (去者不追)時間9年前 (2017/05/13 21:52), 9年前編輯推噓11(11064)
留言75則, 7人參與, 最新討論串1/1
不好意思爬文沒看到精確的描述 (因為都是說有沒有開始中毒被改檔名了 我不確定我這樣算不算已經中了) 想請問一下小紅傘一直出現擋住mssecsvc 電腦檔案似乎沒異狀 (不過剛剛要開魔獸世界開不了 然後就出現小紅傘) 這樣算是沒中毒嗎? 是不是關閉SMB1 然後更新完就沒問題了呢? 還有甚麼檔案要刪除的嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.243.180.162 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494683536.A.2C9.html
05/13 21:54, , 1F
拔掉網路,如果小紅傘沒出現就表示都擋下來。如果有出現
05/13 21:54, 1F
05/13 21:54, , 2F
就表示已經在電腦裡了。先把重要檔案搬離開吧。不過要更
05/13 21:54, 2F
05/13 21:54, , 3F
安全還是重灌在更新到最新妥當。
05/13 21:54, 3F
05/13 21:55, , 4F
先關機,再拔網路線。
05/13 21:55, 4F
05/13 21:56, , 5F
從其他安全的電腦去下載更新檔,然後傳到隨身碟,再以手
05/13 21:56, 5F
05/13 21:56, , 6F
動更新。
05/13 21:56, 6F
05/13 22:00, , 7F
根據#1P5hh4QR 現在應該是第一步驟
05/13 22:00, 7F
05/13 22:01, , 8F
mssecsvc.exe會想丟tasksche.exe 但是被小紅傘擋下來
05/13 22:01, 8F
05/13 22:02, , 9F
所以加密應該還沒開始 看能不能讓紅傘自力清除
05/13 22:02, 9F
05/13 22:03, , 10F
保險一點的作法 就是先把東西備份後整個重灌
05/13 22:03, 10F
05/13 22:16, , 11F
小紅傘沒防火牆,所以才會出現mssecsvc
05/13 22:16, 11F
05/13 22:17, , 12F
有防火牆的直接拒絕連線,不會出現mssecsvc
05/13 22:17, 12F
05/13 22:38, , 13F
結果檔案還是被改了一部分
05/13 22:38, 13F
05/13 22:39, , 14F
C. EF全毀. D槽還沒 只能把D槽還沒備份的照片備份了
05/13 22:39, 14F
05/13 22:45, , 15F
時間差還是怪怪的,你檢查時候還沒有,應該就拔網路線了
05/13 22:45, 15F
05/13 22:46, , 16F
主程式被小紅傘吃了,還能感染三槽。有其他機制嗎?底下
05/13 22:46, 16F
05/13 22:47, , 17F
也是說插上隨身硬碟被感染,怎和目前看到的資訊有落差。
05/13 22:47, 17F
05/13 23:20, , 18F
剛剛在安全模式下備份到外接硬碟 這樣不會把毒帶過去吧or
05/13 23:20, 18F
05/13 23:20, , 19F
z ?
05/13 23:20, 19F
05/13 23:21, , 20F
重新開機後還是一直跳警告
05/13 23:21, 20F
05/13 23:21, , 21F
但是不是那個執行檔 而是TR/FileCoder.724645
05/13 23:21, 21F
05/13 23:22, , 22F
然後對象是我已經被改的E槽資料夾
05/13 23:22, 22F
05/13 23:24, , 23F
TR/FileCoder.724645 就是Wanncry病毒 這是雨傘的編號
05/13 23:24, 23F
05/13 23:28, , 24F
mssecsvc.exe難道還有丟出什麼東西程式跑加密程序?
05/13 23:28, 24F
05/13 23:28, , 25F
好奇原PO在雨傘報毒之後有沒有把馬上網路中斷
05/13 23:28, 25F
05/13 23:30, , 26F
沒有 !
05/13 23:30, 26F
05/13 23:36, , 27F
嗯...沒有...那就有幾種可能讓mssecsvc.exe找到漏洞
05/13 23:36, 27F
05/13 23:37, , 28F
接著把tasksche.exe引進來 就看透過什麼方式
05/13 23:37, 28F
05/13 23:39, , 29F
不然就是tasksche.exe早就開始作用了
05/13 23:39, 29F
05/13 23:40, , 30F
這隻病毒應該還有些行為沒有被分析出來
05/13 23:40, 30F
05/13 23:43, , 31F
因為沒有斷網,所以mssecsvc一直進來,可能在某次不小心
05/13 23:43, 31F
05/13 23:43, , 32F
被啟動成功了,說不定tasksche沒被擋下,就慢慢改掉了。
05/13 23:43, 32F
05/13 23:44, , 33F
而備份時候也可能沒注意到,不小心連病毒都備份過去了(?)
05/13 23:44, 33F
05/13 23:49, , 34F
樓上說的應該是可能性最高的狀況 漏掉某次就GG了
05/13 23:49, 34F
05/13 23:50, , 35F
我剛剛查了雨傘的VDF資料庫 WanaCry特徵是在5/12 23:57
05/13 23:50, 35F
05/13 23:51, , 36F
隨著7.14.6.158 VDF一起被推送更新 還不到24小時
05/13 23:51, 36F
05/13 23:52, , 37F
所以前面有裝雨傘卻沒攔到可以說得通 可能剛好在空檔
05/13 23:52, 37F
05/13 23:53, , 38F
總結就是 如果防毒叫了 第一時間就是斷網殺毒
05/13 23:53, 38F
05/13 23:54, , 39F
接著離線更新填漏洞 關閉SMB 443 PORT鎖起來
05/13 23:54, 39F
05/13 23:54, , 40F
如果這樣還是救不到 那就要懷疑是變種或未知行為了
05/13 23:54, 40F
05/13 23:55, , 41F
更正 443 PORT
05/13 23:55, 41F
05/14 00:01, , 42F
是445 port。反正現在用來控制感染的網址失效了,只要不
05/14 00:01, 42F
05/14 00:02, , 43F
嗯嗯 畢竟我電腦已經被家人開了一個晚上
05/14 00:02, 43F
05/14 00:02, , 44F
是已經存在的病毒檔,應該不會再發生類似感染。但port還
05/14 00:02, 44F
05/14 00:02, , 45F
是先鎖起來好。能更新就更新。檔案放半年看看,文字好像
05/14 00:02, 45F
05/14 00:03, , 46F
看看檔案也沒動靜 所以就先沒理他 先來作功課
05/14 00:03, 46F
05/14 00:03, , 47F
有說半年後說不定有機會(?),不過真沒必要還是全砍了,免
05/14 00:03, 47F
05/14 00:03, , 48F
的還有什麼不可預期的情況。
05/14 00:03, 48F
05/14 00:04, , 49F
我怎麼更正還是錯XD 445對啦XD
05/14 00:04, 49F
05/14 00:05, , 50F
照片檔會有夾帶病毒的可能性嗎 ?
05/14 00:05, 50F
05/14 00:06, , 51F
我覺得如果加密確實是RSA2048 除非美國拿出秘密武器
05/14 00:06, 51F
05/14 00:06, , 52F
不然要救回來真的難上加難...
05/14 00:06, 52F
05/14 00:06, , 53F
什麼檔案都有夾帶病毒的可能性 尤其是加密過的檔案
05/14 00:06, 53F
05/14 00:06, , 54F
誰知道還包進去了什麼鬼東西 放著別動他最好
05/14 00:06, 54F
我複製的檔案都是看似正常 沒被改過加密的說 這樣還是可能有問題嗎orz ? 沒放到別台電腦 因為會怕影響別台 但是是在安全模式下
05/14 00:07, , 55F
請問我用AVAST昨晚擋住一次後立馬斷線,然後今早檢查
05/14 00:07, 55F
05/14 00:07, , 56F
C槽未發現taskche等等檔案,也沒聽到AVAST持續警告,
05/14 00:07, 56F
05/14 00:07, , 57F
請問是否表示攔截成功
05/14 00:07, 57F
05/14 00:08, , 58F
可以進行備份工作了嗎?怕連外接硬碟一起死...
05/14 00:08, 58F
05/14 00:18, , 59F
建議樓上先做一次全機掃描 因為可能不只C而已
05/14 00:18, 59F
05/14 00:19, , 60F
總而言之網路絕對不要先連回去這樣
05/14 00:19, 60F
※ 編輯: goton (114.136.78.47), 05/14/2017 00:19:47
05/14 00:20, , 61F
雖然我的個性還會先去抓Avast的病毒碼來做離線更新
05/14 00:20, 61F
05/14 00:20, , 62F
但這個步驟非必要就是 畢竟沒另一台電腦也不方便這樣做
05/14 00:20, 62F
05/14 00:21, , 63F
全機掃描結束沒問題之後 進安全模式再外接硬碟備份
05/14 00:21, 63F
05/14 00:22, , 64F
基本上這樣已經算是很謹慎了
05/14 00:22, 64F
05/14 00:22, , 65F
如果這樣還是GG 那就代表目前對Wanncry的研究不夠透徹
05/14 00:22, 65F
05/14 00:23, , 66F
回原PO 如果已經複製就複製了吧
05/14 00:23, 66F
05/14 00:23, , 67F
到時候電腦重灌或者找另一台電腦之後 再去掃外接硬碟
05/14 00:23, 67F
05/14 00:24, , 68F
如果防毒軟體沒報毒就可以比較安心
05/14 00:24, 68F
05/14 00:29, , 69F
已經全機掃描過了,中間還有偷偷連上網路幾分鐘更新
05/14 00:29, 69F
05/14 00:29, , 70F
病毒碼,後再掃描重開都未發現@@
05/14 00:29, 70F
05/14 00:31, , 71F
目前看看CDE槽,檔案都還正常無異狀這樣
05/14 00:31, 71F
05/14 00:32, , 72F
那我覺得應該是沒問題 SMB Windows TCP那些趕緊處置
05/14 00:32, 72F
05/14 00:32, , 73F
應該就算是從鬼門關前救了回來 感恩AVAST吧XD
05/14 00:32, 73F
05/14 00:39, , 74F
阿彌陀佛.....QQ
05/14 00:39, 74F
05/14 19:45, , 75F
05/14 19:45, 75F
更多 goton 的文章
文章代碼(AID): #1P5m-GB9 (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 goton 的文章
文章代碼(AID): #1P5m-GB9 (AntiVirus)