PTT數位生活區 / AntiVirus (防毒)

Re: [心得] 兩天內家裡兩台電腦都被勒索

看板AntiVirus (防毒)作者 ((・ω・)ノ)時間8年前 (2017/04/30 18:50), 編輯推噓24(24084)
留言108則, 18人參與, 最新討論串2/2 (看更多)
原PO的Windows有沒有做更新? 上個月3/14日微軟修補了一系列很重要的安全性更新, 其中包括MS17-010的SMB漏洞, 這個漏洞有現成打包好的工具可以掃描網路上的主機, 只要發現對方的port 445是開著並且沒有打補丁, 就可以利用SMB的漏洞入侵電腦放置木馬, 現在有很多人利用這個工具在網路上掃描,尋找可以攻擊的對象。 被攻擊的電腦有可能當機藍畫面或重開機, 入侵後可以放挖礦程式,可以放勒索,可以創建新帳戶,甚至遠端控制電腦, 如果被拿到整個系統的掌控權,防毒就等於完全沒有作用。 WIN10因為這個漏洞覆蓋的記憶體區段是不可執行的, 因此無法利用這個漏洞進行攻擊,躲過一劫。 所以有重大的安全性更新的話,一定要記得打補丁, 如果三月的時候有做安全性更新,或者有防火牆封鎖445, 或者電腦沒有拿實體IP,就不會受到影響。 新聞報導 超過3萬台PC被植入NSA攻擊工具DoublePulsar,台灣受害數量名列第3 http://www.ithome.com.tw/news/113667 DoublePulsar災情擴大至少12萬台PC失守 http://www.ithome.com.tw/news/113704 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.41 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1493549419.A.8F4.html
04/30 19:45, , 1F
windows內建的防火牆 可以針對445來做封鎖嗎?
04/30 19:45, 1F
04/30 19:58, , 2F
有的網站提到可以關網芳或是其他設定來因應
04/30 19:58, 2F
04/30 22:57, , 3F
有做系統更新就不會有事 不用特別去改防火牆
04/30 22:57, 3F
05/01 00:19, , 4F
完蛋 我的系統很久沒更新了 最近想更新都沒辦法
05/01 00:19, 4F
05/01 00:19, , 5F
錯誤C0000022 不過我還沒受害就是(防火牆有開 防毒
05/01 00:19, 5F
05/01 00:20, , 6F
跟ADBLOCK PLUS都有作用跟更新)
05/01 00:20, 6F
05/01 01:57, , 7F
請用dism++去強裝更新檔
05/01 01:57, 7F
05/01 03:07, , 8F
請問有更新檔案編號嗎?太多更新檔案,想先針對3/14的更
05/01 03:07, 8F
05/01 03:07, , 9F
05/01 03:07, 9F
05/01 03:27, , 10F
Win7 KB4012212 Win8.1 KB4012213 Win10 1607 KB4013429
05/01 03:27, 10F
05/01 03:30, , 11F
http://tinyurl.com/ln68e3k 這是 Win7 把網址後面?q=kb
05/01 03:30, 11F
05/01 03:30, , 12F
改成相對應OS的kb編號即可 自己下載適合的檔案
05/01 03:30, 12F
05/01 10:17, , 13F
推樓上 現在離線更新包很方便的
05/01 10:17, 13F
05/01 10:23, , 14F
另外詢問 如果只裝了4月份的安全性更新 有包含這個3月份
05/01 10:23, 14F
05/01 10:23, , 15F
的修正嗎?
05/01 10:23, 15F
05/01 10:50, , 16F
感謝Joba, 正在煩惱不想接網路連線更新…!
05/01 10:50, 16F
05/01 11:12, , 17F
想請問一下KB4012215是不是和KB4012212的內容是一樣的@@?
05/01 11:12, 17F
05/01 12:16, , 18F
感謝Joba07
05/01 12:16, 18F
05/01 12:20, , 19F
https://goo.gl/gqHtXk 請問這家的更新包可用嗎?
05/01 12:20, 19F
05/01 12:46, , 20F
4012215是三月的更新包 2212只有單獨一個更新
05/01 12:46, 20F
05/01 12:50, , 21F
就是MS17-010的SMB漏洞的更新
05/01 12:50, 21F
05/01 12:56, , 22F
請問J大 如果是只裝了4月的有包含3月的SMB漏洞更新嗎?
05/01 12:56, 22F
05/01 13:07, , 23F
對 只要裝2215 就不用裝2212了
05/01 13:07, 23F
05/01 13:08, , 24F
喔 四月跟三月應該是分開的 這我不確定
05/01 13:08, 24F
05/01 13:23, , 25F
四月和三月是分開的
05/01 13:23, 25F
05/01 13:24, , 26F
每個月的安全性品質彙總套件修補的是不一樣的漏洞
05/01 13:24, 26F
05/01 13:24, , 27F
最好安裝整個安全性更新包(安全性品質彙總套件)
05/01 13:24, 27F
05/01 13:24, , 28F
不要只安裝MS17-010的修正
05/01 13:24, 28F
05/01 13:24, , 29F
因為三月修復的高危漏洞不只MS17-010
05/01 13:24, 29F
05/01 13:24, , 30F
網上流傳的攻擊工具包也可以利用三月的其他漏洞進行攻擊
05/01 13:24, 30F
05/01 13:25, , 31F
只是SMB漏洞是當中最嚴重的 但是其他漏洞也還是要補比較好
05/01 13:25, 31F
05/01 13:25, , 32F
建議每個月的安全性更新都一定要安裝
05/01 13:25, 32F
05/01 13:25, , 33F
尤其是有標明「重大」的安全性更新
05/01 13:25, 33F
05/01 13:26, , 34F
每次大規模的攻擊開始流行
05/01 13:26, 34F
05/01 13:26, , 35F
通常都發生在這種重大的漏洞修補之後
05/01 13:26, 35F
05/01 13:26, , 36F
例如之前大流行的Yahoo廣告勒索病毒 利用的Flash漏洞
05/01 13:26, 36F
05/01 13:26, , 37F
也是在一個半月之前Adobe就已經發佈安全性修正
05/01 13:26, 37F
05/01 13:27, , 38F
如果有按時進行安全性更新
05/01 13:27, 38F
05/01 13:27, , 39F
就比較不會受到這種跟流行的漏洞攻擊
05/01 13:27, 39F
還有 29 則推文
05/01 15:20, , 69F
Step2的動作與微軟教學同 所以都用了就先安心吧(茶)
05/01 15:20, 69F
05/01 17:26, , 70F
上星期突然電腦有跳一次藍屏,雖然昨天裝了更新檔但
05/01 17:26, 70F
05/01 17:26, , 71F
還是好怕啊
05/01 17:26, 71F
05/01 17:48, , 72F
昨天看影片到一半電腦跳出lsass錯誤重開
05/01 17:48, 72F
05/01 17:49, , 73F
然後發現有wuauser.exe、msiexev.exe,目前都幹掉然後
05/01 17:49, 73F
05/01 17:49, , 74F
四月份更新包打上去,不知道還會不會再出問題@_@
05/01 17:49, 74F
05/01 17:50, , 75F
被SMB漏洞攻擊的電腦有可能因此發生藍屏或重開機
05/01 17:50, 75F
05/01 17:50, , 76F
所以有些人是睡一覺起來發現電腦自己重開機了
05/01 17:50, 76F
05/01 17:50, , 77F
藍屏或重開機是攻擊產生的副作用 不是攻擊者目的
05/01 17:50, 77F
05/01 17:50, , 78F
攻擊者的目的是上傳payload 通常是dll
05/01 17:50, 78F
05/01 17:50, , 79F
檔案看起來目前是沒事不過還是先備份隨時作好重灌準備
05/01 17:50, 79F
05/01 17:50, , 80F
注入目標程序後下載其他木馬或惡意軟體
05/01 17:50, 80F
05/01 17:50, , 81F
微軟的更新是修補這個漏洞
05/01 17:50, 81F
05/01 17:50, , 82F
在受到攻擊前把這個漏洞補起來
05/01 17:50, 82F
05/01 17:51, , 83F
如果系統已經遭受過這個漏洞攻擊
05/01 17:51, 83F
05/01 17:51, , 84F
並且已經被植入其他的木馬或惡意軟體
05/01 17:51, 84F
05/01 17:51, , 85F
這個更新並不能移除被安裝的木馬或後門
05/01 17:51, 85F
05/01 17:51, , 86F
也不能修復已經受損的系統
05/01 17:51, 86F
05/01 17:51, , 87F
希望只是被放個挖礦沒有被埋勒索進去
05/01 17:51, 87F
05/01 17:53, , 88F
wuauser.exe、msiexev.exe這兩個的話有哪套免費的推薦嗎
05/01 17:53, 88F
05/01 17:53, , 89F
最挫的是,我不懂到底是真的受到攻擊還是電腦太舊設
05/01 17:53, 89F
05/01 17:53, , 90F
備異常跳藍屏=皿=
05/01 17:53, 90F
05/01 17:53, , 91F
本來是只有用內建的windows defender
05/01 17:53, 91F
05/01 19:09, , 92F
小紅傘可以抓到wuauser與msiexev 不過我是自己在安全模式下
05/01 19:09, 92F
05/01 19:09, , 93F
刪除的
05/01 19:09, 93F
05/01 19:48, , 94F
我也照著kesdoputr分享的網頁做,做完重開機netstat -an
05/01 19:48, 94F
05/01 19:49, , 95F
445還是listening >"<
05/01 19:49, 95F
05/01 19:51, , 96F
請問WIN7下載KB4012212 x64安裝出現0x80240037是甚麼意思呢?
05/01 19:51, 96F
05/01 20:19, , 97F
05/01 20:19, 97F
05/01 20:20, , 98F
此網址可以偵測有沒有doublepulsar
05/01 20:20, 98F
05/01 20:43, , 99F
請教一下,如果沒有藍屏或者重開機現象,是否表示沒
05/01 20:43, 99F
05/01 20:43, , 100F
有感染到,或者還有其他方式查詢是否中獎,如出現不該
05/01 20:43, 100F
05/01 20:43, , 101F
有的資料夾或者某檔名,現在才看到此問題,趕緊下載
05/01 20:43, 101F
05/01 20:43, , 102F
3月份的更新,謝謝。
05/01 20:43, 102F
05/01 21:22, , 103F
勒索病毒並不一定會有藍屏和重開機現象
05/01 21:22, 103F
05/01 21:23, , 104F
我的2台電腦就是用到一半時直接開始檔案被加密亂碼
05/01 21:23, 104F
05/01 22:05, , 105F
上頭給的網頁測了寫NO DOUBLEPULSAR Implant Detected
05/01 22:05, 105F
05/01 22:06, , 106F
再觀察看看...這次這洞感覺就是好一點被放挖礦黑一點
05/01 22:06, 106F
05/01 22:06, , 107F
就直接被放勒索的fu...
05/01 22:06, 107F
05/04 16:49, , 108F
請問電腦是 ip 192.168.1.xxx 就不會中主動式的勒索病毒嗎?
05/04 16:49, 108F
更多 mayuyu 的文章
文章代碼(AID): #1P1S5hZq (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 mayuyu 的文章
文章代碼(AID): #1P1S5hZq (AntiVirus)