Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

看板AntiVirus (防毒)作者 (便當俠)時間7年前 (2017/05/13 07:58), 7年前編輯推噓358(3591285)
留言645則, 264人參與, 最新討論串10/25 (看更多)
※ 引述《imasa (便當俠)》之銘言: : 有興趣的人可以看看 : : http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html : : 在此就先不浪費篇幅在這post了 : : 推 bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密 05/13 05:28 : → bignose0623: 前,感謝 05/13 05:28 這裡有偵測的script下載 https://github.com/countercept/doublepulsar-detection-script 或者你也可以下載我改寫後打包起來的程式來偵測: v1.07 https://mega.nz/#!7Upx3ZaS!vUxKXP9I5uYETZp2HoswrS61RRH7sw3saPiFnGord-k 備用載點: https://www.mediafire.com/?za4wl8cbqaoyy3l 執行前請確認檔案有無被偷改過 v1.07 File Info Executable File SHA1: 6ADAABF9B3CBA780B90CAE3AEE411F27EB0E22A4 Executable File Size: 9,248,982 Bytes 檢查自己機器時,左鍵點兩下程式就可以了 (XP除外) 下面是程式執行後的偵測結果 現在會直接掃描電腦是否有安裝相關的的 MS17-010 KB KB號碼參考同討論串其他網友分享的ID 尚未被攻擊: 顯示 No presence of DOUBLEPULSAR SMB implant http://imgur.com/bhha3st
被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期) http://imgur.com/BXFTu8G
按照我前文的內容把SMBv1協定關閉時 顯示 This machine has already closed SMBv1 protocol 這是我自己加的、原本的script沒有這段,會跳exception 這是win7的範例圖 http://imgur.com/vxjHIth
winXP的範例圖 http://imgur.com/wCqEQzJ
偵測程式的其他用法請參考原始script的說明 -- 貧血軟派羅傑君 http://roger6.blogspot.tw 熱血系列粉絲團 http://www.facebook.com/KunioGame -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html

05/13 08:15, , 1F
推推
05/13 08:15, 1F

05/13 08:18, , 2F
補充一下 Win10 開這會被擋 要選擇仍要執行才會動
05/13 08:18, 2F

05/13 08:20, , 3F
感謝你
05/13 08:20, 3F

05/13 08:20, , 4F
昨天這麼熱鬧 我卻因為林奕含案沮喪到關機逃過一劫 冥冥之
05/13 08:20, 4F

05/13 08:20, , 5F
中也許是林女在保佑我的電腦 謝謝啦
05/13 08:20, 5F

05/13 08:22, , 6F
請問vista有得補漏洞嗎QQ?我的最後卡在去年的更新但
05/13 08:22, 6F

05/13 08:22, , 7F
也是一直無法下載 ,是因為不支援了所以檔案整個沒得
05/13 08:22, 7F

05/13 08:22, , 8F
載了嗎?謝謝
05/13 08:22, 8F

05/13 08:30, , 9F
05/13 08:30, 9F

05/13 08:39, , 10F
在熱門板排名快衝到前10了@@
05/13 08:39, 10F

05/13 08:40, , 11F
哇嗚 已經進前10了
05/13 08:40, 11F

05/13 08:53, , 12F
win10用了直接跑一下馬上不見,跨某
05/13 08:53, 12F

05/13 08:55, , 13F
win10不需要用這個 本身就沒漏洞了...
05/13 08:55, 13F

05/13 08:56, , 14F
好的,謝謝
05/13 08:56, 14F

05/13 09:00, , 15F
感謝!
05/13 09:00, 15F

05/13 09:01, , 16F
目前沒中,但本身是盜版win7,更新5月的會藍屏……
05/13 09:01, 16F

05/13 09:01, , 17F
現在不知道要不要換win10…
05/13 09:01, 17F

05/13 09:05, , 18F
win10不是沒漏洞, 是正常情況下已經強制幫你更新了...
05/13 09:05, 18F

05/13 09:05, , 19F
問題是在有沒有更新, 不在win10還win7...
05/13 09:05, 19F

05/13 09:09, , 20F
喔喔喔 人數持續攀升中
05/13 09:09, 20F

05/13 09:10, , 21F
大半原因是新聞在抱了
05/13 09:10, 21F

05/13 09:17, , 22F
當初剛裝WIN10覺得強制自動更新很靠盃,現在覺得關
05/13 09:17, 22F

05/13 09:17, , 23F
掉才是不知死活QQ
05/13 09:17, 23F

05/13 09:19, , 24F
win7 sp1,檔案直接放在C: 顯示已經停止運作
05/13 09:19, 24F

05/13 09:19, , 25F
不知道跟使用者名稱是中文有沒有關係?
05/13 09:19, 25F

05/13 09:25, , 26F
昨晚電腦怪怪的,要怎麼知道自己有沒有中啊
05/13 09:25, 26F

05/13 09:25, , 27F
路徑請不要有中文
05/13 09:25, 27F

05/13 09:27, , 28F
我的意思是...我不敢再練網了,沒練網的情況下可以知道
05/13 09:27, 28F

05/13 09:27, , 29F
05/13 09:27, 29F

05/13 09:29, , 30F
我直接放在C:\底下耶 完全沒中文
05/13 09:29, 30F

05/13 09:33, , 31F
推這篇
05/13 09:33, 31F

05/13 09:37, , 32F
我打開來以後顯示點任意鍵繼續但 點下去後就跳出了
05/13 09:37, 32F

05/13 09:38, , 33F
05/13 09:38, 33F

05/13 09:38, , 34F
這一定要推
05/13 09:38, 34F

05/13 09:40, , 35F
推!
05/13 09:40, 35F

05/13 09:46, , 36F
昨天沒開機,早上起來看到就想拔儲存槽,只留系統槽更新
05/13 09:46, 36F

05/13 09:48, , 37F
我的習慣是用外接盒 但系統碟裡的檔案就沒辦法了
05/13 09:48, 37F

05/13 09:48, , 38F
W10開起會閃跳
05/13 09:48, 38F

05/13 09:50, , 39F
請教目前有win8的災情嗎
05/13 09:50, 39F
還有 568 則推文
還有 9 段內文
05/14 23:23, , 608F
我用命令提示字元打開 跑出http://imgur.com/h2H8fSa
05/14 23:23, 608F

05/14 23:23, , 609F
請問這是怎麼了?
05/14 23:23, 609F

05/15 01:19, , 610F
這樣是有中?
05/15 01:19, 610F

05/15 01:19, , 611F

05/15 01:35, , 612F
我的畫面顯示跟樓上billy一樣...正想問
05/15 01:35, 612F

05/15 01:44, , 613F
主要是多了already installed MS17-010這句
05/15 01:44, 613F
※ 編輯: imasa (114.42.160.182), 05/15/2017 02:39:10

05/15 02:56, , 614F
這個代表你有更新了系統漏洞了 不用怕被攻擊
05/15 02:56, 614F

05/15 03:50, , 615F
感謝imasa大!!! 讚嘆imasa大!!! (跪)
05/15 03:50, 615F

05/15 05:52, , 616F
dra大 所以我這是更新成功囉?
05/15 05:52, 616F

05/15 09:31, , 617F
公司電腦的AVG 免費版防毒說這個程式是木馬不給開TT
05/15 09:31, 617F

05/15 09:31, , 618F
但在家裡電腦測試時家裡的卡巴什麼都沒說啊,需要先關
05/15 09:31, 618F

05/15 09:31, , 619F
Avg再測嗎TT
05/15 09:31, 619F

05/15 09:58, , 620F
已經中了才關SMB1會顯示什麼
05/15 09:58, 620F

05/15 11:29, , 621F
正在幫公司電腦更新,只有一台
05/15 11:29, 621F

05/15 11:30, , 622F
win7出現此訊息閃退,這台裝的是擺渡防毒,不知有無關聯
05/15 11:30, 622F

05/15 12:10, , 623F
測完跑出這張圖http://imgur.com/a/5Mjpn
05/15 12:10, 623F

05/15 12:11, , 624F
但沒有i大文章中提到的No presence of DOUBLEPULSAR SMB
05/15 12:11, 624F

05/15 12:12, , 625F
請問這樣是表示沒有病毒感染潛伏嗎? 謝謝
05/15 12:12, 625F

05/15 12:56, , 626F
@snownow 這應該是你的防毒軟體把連線中斷了
05/15 12:56, 626F

05/15 12:57, , 627F
@bgt5vfr4你有裝更新 所以跑不到那段code,這樣就暫時安全了
05/15 12:57, 627F

05/15 16:59, , 628F
請問一下,這樣算成功嗎?http://imgur.com/a/MB0Z5
05/15 16:59, 628F

05/15 17:00, , 629F
因為安裝KB4019264時,顯示未安裝...
05/15 17:00, 629F

05/15 18:02, , 630F
不好意思請問我的畫面為什麼一直卡在這呢?
05/15 18:02, 630F

05/15 18:03, , 631F
請問有哪裡錯誤嗎?
05/15 18:03, 631F

05/15 18:13, , 632F
請問我這樣是不是沒關成功呢
05/15 18:13, 632F

05/15 18:15, , 633F
沒事了!! 等久一點之後就跑出來了XD 謝謝分享~~~
05/15 18:15, 633F
※ 編輯: imasa (114.42.160.182), 05/15/2017 22:59:43

05/16 09:38, , 634F
所以這是怎麼了http://imgur.com/h2H8fSa
求幫忙
05/16 09:38, 634F

05/16 13:03, , 635F
請用1.07喔 應該有解決這個問題
05/16 13:03, 635F

05/16 16:24, , 636F
請問這樣是安全嗎?
05/16 16:24, 636F

05/16 16:25, , 637F

05/16 21:17, , 638F
請問這樣是顯示什麼http://imgur.com/a/vQ7O0
05/16 21:17, 638F

05/16 21:18, , 639F
要如何解決?
05/16 21:18, 639F

05/17 00:00, , 640F
太可怕,還是異地備份一下好了。
05/17 00:00, 640F

05/17 01:30, , 641F
@insane1102 有安裝KB,暫時安全了
05/17 01:30, 641F

05/17 01:31, , 642F
@ying8375 這是wmi query錯誤,請問你已經安裝KB了嗎?
05/17 01:31, 642F

05/17 03:44, , 643F
謝謝imasa大大
05/17 03:44, 643F

05/17 21:46, , 644F
我有安裝更新KB4019264 這個沒有用嗎??
05/17 21:46, 644F

05/18 22:58, , 645F
感謝教學~~~
05/18 22:58, 645F
文章代碼(AID): #1P5amuty (AntiVirus)
討論串 (同標題文章)
文章代碼(AID): #1P5amuty (AntiVirus)