【免費註冊】 【會員登入】 【個人資料】 【會員列表】 【論壇幫助】 【論壇搜尋】 【登出論壇】

∮Ω奧米加空間∮
∮Ω奧米加空間∮»軟體推薦區»【教學】WannaCry 病毒更新資料收集

訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆
作者 主題    
dc
管理員



性別:男
來自:瓦肯星
發表總數:6488
註冊時間:2002-05-07 16:32
(第 1 篇) 【教學】WannaCry 病毒更新資料收集

此病毒是透過 SMB  服務漏洞 port 445 感染 Windows  的作業系統傳播開的,主要是在公網上 Public IP 有對外開啟 TCP 0.0.0.0:445 LISTENING 就有很大的機會中標。
但是像家裡的網路環境對外有防火牆檔著,預設不會開 SMB 服務連入所以就不用擔心這類的病毒。

主要是電腦需要做這一個更新

Microsoft 資訊安全公告 MS17-010 - 重大
Microsoft Windows SMB 伺服器的安全性更新 (4013389)

簡體
https://technet.microsoft.com/zh-cn/library/security/MS17-010

繁體
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx


含 32 與 64 位元
Windows XP, Windows XP Embedded, Windows Vista, Windows Server 2003, Windows Server 2008
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Windows 7, Windows Embedded Standard 7, Windows Server 2008 R2
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

Windows 8.1, Windows Server 2012 R2
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows 8 Embedded, Windows Server 2012
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012217

Windows 10, Windows 10 LTSB,
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

Windows 10, Windows Server 2016
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429


已經停止更新的作業系統放出的修正
Customer Guidance for WannaCrypt attacks
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Windows Server 2003 SP2 x64
https://www.microsoft.com/en-us/download/details.aspx?id=55244
Windows Server 2003 SP2 x86
https://www.microsoft.com/en-us/download/details.aspx?id=55248
Windows XP SP2 x64
https://www.microsoft.com/en-us/download/details.aspx?id=55250
Windows XP SP3 x86
https://www.microsoft.com/en-us/download/details.aspx?id=55245
Windows XP Embedded SP3 x86
https://www.microsoft.com/en-us/download/details.aspx?id=55247
Windows 8 x86
https://www.microsoft.com/en-us/download/details.aspx?id=55246
Windows 8 x64
https://www.microsoft.com/en-us/download/details.aspx?id=55249


這一篇整理的挺詳細的
https://unwire.hk/2017/05/13/wannacry-wcry/tech-secure/


第一波攻擊因為軟體檢查機制的關係,有網友註冊用來確認病毒開關的網域而停止了。但是攻擊者已經放出第二波更新後的病毒。
中文說明
https://technews.tw/2017/05/14/how-to-accidentally-stop-a-global-cyber-attacks/
原文網址
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
http://blog.talosintelligence.com/2017/05/wannacry.html


至於修復的方式依造這類加密勒索病毒的作法是
1.將檔案加密
2.刪除原始檔案
所以只要本身硬碟容量夠大,刪除的檔案磁區沒有被加密檔案覆蓋過的話,使用檔案救援軟體大多能救回被刪除的原始檔案。




本帖由dc最後編輯於2017-05-15 14:00

Your mind to my mind,

your thought to my thought
發表時間:2017-05-15 12:43
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6488
註冊時間:2002-05-07 16:32
(第 2 篇) 【轉貼】WanaKiwi - WannaCry不完美解密工具+病毒加密原理簡介

資料來源:mobile01

在國外科技網站看到此消息,決定發到這裡分享一下,首先想解密的人不要抱太高的期待,使用這個工具需要的條件很嚴苛,首先中毒後電腦不可關機,原因是因為斷電後記憶體所有資訊都會遺失,第二此方法是透過抓取記憶體中殘留用來生成加密金鑰的質數,就算沒關機該資訊也有蠻高的可能性被其他東西覆蓋掉導致解密失敗

假設不符合條件一的人可以直接跳過此方法,沒重開機的人建議馬上試用此方法,反正死馬當活馬醫也不會再損失什麼
WanaKiwi適用於Windows XP, Windows 7, Windows Vista, Windows Server 2003 和 2008

下載地址 (解壓後執行wanakiwi.exe)
https://github.com/gentilkiwi/wanakiwi/releases

WanaKiwi的運作方式:
昨天安全研究人員Adrien Guinet發現了WannaCry在生成金鑰後使用的系統內建Windows Crypt APIs來清除記憶體中的私鑰,不過在舊版Windows中該API有漏洞導致生成加密金鑰的質數會殘留在記憶體中,擷取成功的話可以用來反推加密私鑰,Adrien Guinet發佈了可以在Windows XP上使用的WannaKey工具,今天另一名研究人員Benjamin Delpy將此方式使用到Windows 7上取得成功,發佈了更新版的WanaKiwi解密工具。

同場加映WannaCry的加密方式簡介:

首先對加密原理不太熟的人解釋對稱與非對稱加密,對稱加密代表加密與解密都是用同一把金鑰,對稱加密比較有名的是AES加密法,對稱加密的好處為速度快以及強度非常高,但缺點為只能用在本地端,就跟你無法把一個上鎖的盒子和鑰匙一起寄給別人,因為中途被攔截就可以直接被打開了。非對稱加密解決了這個通信問題,最有名的為RSA加密法,RSA加密利用了電腦無法有效的計算質數分解問題的弱點,使用兩個非常龐大的質數來形成一對金鑰,用其中一個金鑰加密後只能用另一個與其配對的金鑰進行解密,如此一來就可以在本地端儲存一把金鑰叫做私鑰,另一把則對外公布叫做公鑰,當甲要把資訊寄給乙,甲就用乙的公鑰加密這樣該檔案就只有擁有自己私鑰的乙才打得開,甲同時也可以附上一段用自己私鑰加密的訊息,讓乙可以用甲的公鑰來確認發件者的身份,非對稱加密的缺點為加密速度慢。

每一個勒索病毒的加密方式都略有不同,以下的解釋僅限定於WannaCry,目前比較先進的勒索病毒具備了以下幾個特性:可以離線加密、加密速度快讓被害人察覺的可能性降低、讓作者具有解密能力、以及高安全性,這些先進的勒索病毒通常會使用Hybrid Encryption混合了對稱與非對稱加密的優點,將這次的WannaCry 勒索病毒除了以上提到的Windows系統API漏洞外也使用了Hybrid Encryption具備了以上所有的特性,首先每個病毒都事先內建了作者的RSA-2048公鑰(簡稱RSA2),使病毒不需要向作者私服器要求金鑰,讓WannaCry具有離線加密的能力,當毒發時WanaCry會在被害者的本地端建立另一組每個受害者都不同的加密用的RSA公鑰(存放在00000000.pky)與私鑰,加密用私鑰會被病毒用作者的公鑰(RSA2)加密,然後存放在00000000.eky,接下來病毒使用系統內建的Windows Crypt APIs清除記憶體中儲存的加密私鑰,讓被害者無法用其解密,病毒會對每一個要被加密的檔案用隨機生成的獨特AES-128金鑰加密,然後每個檔案的AES加密金鑰會被用剛剛生成的加密用公鑰00000000.pky加密。

由於檔案主要是用AES對稱加密法加密所以具有對稱加密速度快的特性,但是要解密時則需要與00000000.pky對應的私鑰(00000000.eky的解密版)來先解密每個檔案的AES金鑰,要獲取00000000.eky的解密版除非用上面提到的記憶體漏洞,在不花上幾十幾百年暴力破解的情況下就只能付款後把00000000.eky寄給作者,用作者的私鑰(與RSA2對應的金鑰)解密,當然作者會不會真的幫你解密就不知道了。

除了使用以上WanaKiwi工具或付款賭賭看外,另一個有可能救回部分檔案的方式是使用磁碟救援工具,但是根據賽門鐵克研究人員的分析WannaCry會對儲存在桌面(Desktop)、我的文件(My Documents)、以及任何可移除硬碟中的檔案磁區複寫,導致磁碟救援工具失效,不過儲存在以上這三個地點外的檔案在沒被其他東西複寫前是有可以被磁碟救援工具救援的可能性。

參考來源:
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d






Your mind to my mind,

your thought to my thought
發表時間:2017-05-22 14:19
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:118.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:6488
註冊時間:2002-05-07 16:32
(第 3 篇)

Downloading and Using the Trend Micro Ransomware File Decryptor

https://success.trendmicro.com/solution/1114221#omega

As of May 21, 2017, limited decryption support for the WannaCry (WCRY) Ransomware has been added to this tool (primarily for Windows XP). Please read the notes and limitations below for more information.

趨勢在 2017/5/21 新增了 WannaCry 解密功能 for Windows XP 系統






Your mind to my mind,

your thought to my thought
發表時間:2017-05-24 13:54
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
所有時間均為GMT+8, 現在是2017-06-28 01:11    
訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆

快速回覆
主題 ( 回覆文章可以不輸入標題 )
URLs自動分析
有回覆時郵件通知
禁用表情符號
使用簽名

<聯絡我們 - OMEGA - 控制面板>

Powered by Centaur & Joksky & DC, ver 2003.08.14
Copyright ©2002-2008 PHPY.COM


頁面生成時間:0.024099826812744