看板 AntiVirus
作者
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 07:58:41 2017
作者
標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 07:58:41 2017
※ 引述《imasa (便當俠)》之銘言:
: 有興趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪費篇幅在這post了
:
: 推 bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密 05/13 05:28
: → bignose0623: 前,感謝 05/13 05:28
這裡有偵測的script下載
https://github.com/countercept/doublepulsar-detection-script
GitHub - countercept/doublepulsar-detection-script: A python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.
![[圖]]()
doublepulsar-detection-script - A python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant. ...
![[圖]](https://avatars2.githubusercontent.com/u/23384414?v=3&s=400)
或者你也可以下載我改寫後打包起來的程式來偵測:
v1.06
https://mega.nz/#!aQQWEDAA!BuzKVICsuslIGEjgYRyV8gjxnaopivDV_13H0sUIqEE
備用載點:
https://www.mediafire.com/?jiph1b52d3uuwei
![[圖]](http://cdn.mediafire.com/images/filetype/download/zip.jpg)
執行前請確認檔案有無被偷改過
v1.06 File Info
Executable File SHA1: 3DE8A176F3A8EC4AA33C1DA6B5EB18DFEBDFDEBF
Executable File Size: 9,248,968 Bytes
檢查自己機器時,左鍵點兩下程式就可以了 (XP除外)
下面是程式執行後的偵測結果
現在會直接掃描電腦是否有安裝相關的的 MS17-010 KB
KB號碼參考同討論串其他網友分享的ID
尚未被攻擊:
顯示 No presence of DOUBLEPULSAR SMB implant
http://imgur.com/bhha3st
![[圖]](http://i.imgur.com/bhha3st.png)
被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期)
http://imgur.com/BXFTu8G
![[圖]](http://i.imgur.com/BXFTu8G.png)
按照我前文的內容把SMBv1協定關閉時
顯示 This machine has already closed SMBv1 protocol
這是我自己加的、原本的script沒有這段,會跳exception
這是win7的範例圖
http://imgur.com/vxjHIth
![[圖]](http://i.imgur.com/vxjHIth.png)
winXP的範例圖
http://imgur.com/wCqEQzJ
![[圖]](http://i.imgur.com/wCqEQzJ.png)
偵測程式的其他用法請參考原始script的說明
--
貧血軟派羅傑君
http://roger6.blogspot.tw
熱血系列粉絲團
http://www.facebook.com/KunioGame
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章代碼(AID): #1P5amuty (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
※ 同主題文章:
05-13 06:15
Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 07:58
05-13 15:50
推 : 推推1F 05/13 08:15
推 : 補充一下 Win10 開這會被擋 要選擇仍要執行才會動2F 05/13 08:18
推 : 感謝你3F 05/13 08:20
推 : 昨天這麼熱鬧 我卻因為林奕含案沮喪到關機逃過一劫 冥冥之 中也許是林女在保佑我的電腦 謝謝啦4F 05/13 08:20
推 : 請問vista有得補漏洞嗎QQ?我的最後卡在去年的更新但也是一直無法下載 ,是因為不支援了所以檔案整個沒得載了嗎?謝謝6F 05/13 08:22
推 : 推9F 05/13 08:30
推 : 在熱門板排名快衝到前10了@@
哇嗚 已經進前10了10F 05/13 08:39
哇嗚 已經進前10了10F 05/13 08:39
推 : win10用了直接跑一下馬上不見,跨某12F 05/13 08:53
→ : win10不需要用這個 本身就沒漏洞了...13F 05/13 08:55
推 : 好的,謝謝14F 05/13 08:56
→ : 感謝!15F 05/13 09:00
推 : 目前沒中,但本身是盜版win7,更新5月的會藍屏……
現在不知道要不要換win10…16F 05/13 09:01
現在不知道要不要換win10…16F 05/13 09:01
推 : win10不是沒漏洞, 是正常情況下已經強制幫你更新了...
問題是在有沒有更新, 不在win10還win7...18F 05/13 09:05
問題是在有沒有更新, 不在win10還win7...18F 05/13 09:05
→ : 喔喔喔 人數持續攀升中20F 05/13 09:09
推 : 大半原因是新聞在抱了21F 05/13 09:10
推 : 當初剛裝WIN10覺得強制自動更新很靠盃,現在覺得關掉才是不知死活QQ22F 05/13 09:17
推 : win7 sp1,檔案直接放在C: 顯示已經停止運作
不知道跟使用者名稱是中文有沒有關係?24F 05/13 09:19
不知道跟使用者名稱是中文有沒有關係?24F 05/13 09:19
推 : 昨晚電腦怪怪的,要怎麼知道自己有沒有中啊26F 05/13 09:25
→ : 路徑請不要有中文27F 05/13 09:25
推 : 我的意思是...我不敢再練網了,沒練網的情況下可以知道嗎28F 05/13 09:27
推 : 我直接放在C:\底下耶 完全沒中文30F 05/13 09:29
推 : 推這篇31F 05/13 09:33
推 : 我打開來以後顯示點任意鍵繼續但 點下去後就跳出了32F 05/13 09:37
推 : 推33F 05/13 09:38
推 : 這一定要推34F 05/13 09:38
推 : 推!35F 05/13 09:40
推 : 昨天沒開機,早上起來看到就想拔儲存槽,只留系統槽更新36F 05/13 09:46
→ : 我的習慣是用外接盒 但系統碟裡的檔案就沒辦法了37F 05/13 09:48
推 : W10開起會閃跳38F 05/13 09:48
推 : 請教目前有win8的災情嗎
還是都8.1?39F 05/13 09:50
還是都8.1?39F 05/13 09:50
→ : win8都在中槍名單中41F 05/13 09:50
→ : gg QQ42F 05/13 09:51
→ : 請問出現closed是否也代表沒有被implant?
謝謝43F 05/13 09:53
謝謝43F 05/13 09:53
推 : 我Win10也是閃一下就關了 什麼都沒看到45F 05/13 09:55
推 : 感謝46F 05/13 09:58
推 : 幫推 感謝強者幫忙整理47F 05/13 09:58
推 : 請問我點了後,出現無法連線,因為目標電腦拒絕連線,這是代表什麼情況?48F 05/13 10:04
→ : 就關起來了這樣50F 05/13 10:06
推 : 喔喔,所以這代表我的電腦已經堵上這個洞了嗎?非常感謝51F 05/13 10:08
推 : 我想請問一下這支程式 假如我已經中毒了 但後來關掉SMB那顯示結果會是 你被攻擊了 還是 你關SMB 所以安全了?52F 05/13 10:11
![[圖]](http://i.imgur.com/NcXk592.jpg)
推 : win10 會怕!所以早上就1607更新成1703了 @@55F 05/13 10:17
推 : 那要怎麼樣關閉SMBv1呢?56F 05/13 10:20
→ : Vista可以補到4月份以前的漏洞57F 05/13 10:20
推 : 我電腦沒那個協定耶 W758F 05/13 10:21
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:31:59推 : 為啥我路徑也沒中文還是依開啟就當掉?59F 05/13 10:31
推 : 請問中毒的話NAS也會被感染嗎60F 05/13 10:32
→ : 我更新了偵測程式,請重新下載
會根據不同windows而有不同的行為,請參考更新後的內文
主要更新內容是win10會跳過、xp需要手動輸入IP
vista需要在別台電腦測試61F 05/13 10:32
會根據不同windows而有不同的行為,請參考更新後的內文
主要更新內容是win10會跳過、xp需要手動輸入IP
vista需要在別台電腦測試61F 05/13 10:32
推 : 請問昨天Avast攔截到一次mssecsvc.exe,剛剛搜尋電腦,未發現有相關的檔案
這樣算攔截成功可放心,還是已經中標等哪天自己引爆了?(win7)65F 05/13 10:34
這樣算攔截成功可放心,還是已經中標等哪天自己引爆了?(win7)65F 05/13 10:34
→ : 感謝I大的文章69F 05/13 10:38
推 : 請問,我是照前文關掉SMB1以後才跑偵測軟體,70F 05/13 10:39
推 : 所以要再重新下載一次嗎~?
mega中的那個檔案71F 05/13 10:39
mega中的那個檔案71F 05/13 10:39
推 : 再下一次吧 I大有修正了73F 05/13 10:40
→ : 雖然偵測軟體顯示已經關掉,會不會還是有發作的風險?74F 05/13 10:41
推 : 好的 感謝~ 也有在更新檔案中看到新的txt檔75F 05/13 10:42
→ : 如果別的病毒偷開或是手殘把SMBv1又打開 就會有風險76F 05/13 10:43
推 : 感謝大大無私分享77F 05/13 10:43
推 : 筆電重灌回到WIN8後就沒法上8.1,現在挫咧等XD78F 05/13 10:44
推 : 問題是我現在不敢連網RRRRRR79F 05/13 10:51
推 : 為啥 我也是一打開就停止運作 感恩大大教我80F 05/13 10:52
→ : 有中毒是用撥接還是用分享器上網的81F 05/13 10:55
→ : Ejaculation能傳張圖給我看看嗎? 停止運作的圖82F 05/13 10:55
→ : 不曉得 不過我用分享器上網沒中槍 當然 現在已經更新了83F 05/13 10:56
→ : 請問如果事先用內建的BitLocker把硬碟鎖住有用嗎?@@ 謝謝84F 05/13 10:57
推 : 所以先把SMB關掉再下載偵測軟體嗎?85F 05/13 11:01
推 : 感謝!!!!86F 05/13 11:05
推 : 想借問一下 如果筆電是雙系統 這樣是不要切到windows那邊就可以嗎 還是也要更新87F 05/13 11:06
推 : 開啟程式都錯誤..路徑都英文了啊89F 05/13 11:07
推 : 感謝您的熱心90F 05/13 11:10
![[圖]](http://i.imgur.com/qwOXNSl.png)
推 : 請問WIN10看更新紀錄是要更新哪個才算安全~92F 05/13 11:13
推 : 小弟的windows服務中。沒看到smb欸。這是代表?93F 05/13 11:14
推 : 感謝 先處理起來避免萬一94F 05/13 11:16
推 : 請問W7 4月底有更新 這樣還需要更新嗎?95F 05/13 11:19
推 : 好奇問一下 這病毒會影響家中wifi嗎96F 05/13 11:20
![[圖]](http://i.imgur.com/lWVC2nV.jpg)
→ : ariawind請問你的作業系統版本是?99F 05/13 11:24
![[圖]](http://i.imgur.com/4oxz2aY.png)
→ : 這個病毒跟WW3會有關係嗎?557F 05/14 12:06
推 : SHA1要怎麼看558F 05/14 12:28
推 : 有指定或建議的解壓縮方式嗎 再次感謝大大559F 05/14 12:55
![[圖]](http://i.imgur.com/jsdMaLu.png)
→ : 請問出現這種狀況,是哪個環節錯了呢?561F 05/14 13:09
--
--
(imasa.): Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 - FW板