作者:
whiteD (悠閒自在...)
2017-05-17 00:19:08近期因為 WannaCry 太夯了,導致公司大頭們都相當緊張,
雖然小弟跟大夥保證,公司絕對沒問題,不用擔心
但是大家還是一副草木皆兵的樣子,只要有發生電腦有狀況
就一定要最高規格處理,連分公司有狀況都要去看...
不過,卻意外發現最近公司內部接連發生檔案被加密,但沒被勒索
想當然耳,當然是中了勒索,只不過對外連線目的端的中繼站被FW擋了
所以同仁接收不到勒索匯款的畫面。
被加密的檔案副檔名均變更為16進位,看起來就等於4位數的英數字
詳查evenlog,可以發現中標的源頭為隨身碟,裡面有個腳本檔.hta(隱藏檔)
應該為cerber勒索軟體的變種,兇手隨身碟均有被帶回家使用,所以無法確實追查源頭
給大家參考,也請教各位先進,這可能是上了哪些網站論壇而中標?要拿來宣導使用。
作者:
Klauhal (赤)
2017-05-17 08:11:00減少被拉出來當樣本玩的機率不過只要在加密完成前拉出來就變成樣本了...
作者: peterh05 (peter) 2017-05-17 07:43:00
AD、防毒、資產軟體都可以控管USB
作者:
erik777 (水樹奈奈紅白登場!!!)
2017-05-17 08:04:00病毒加密完就自殺是為啥? 怕反組譯解出密碼?
作者:
gwofeng (宮山洋行)
2017-05-17 00:20:00可以提供下樣本嗎,隨身碟型的勒索病毒實在罕見那個hta應該是勒索說明檔而已,cerber一向都是加密完就自殺,很難想像會從中毒的電腦移居到隨身碟去暴露自己的本體
作者:
coyoteY (マジジョテッペン)
2017-05-17 00:35:00如果發展成APT攻擊,這根本是很難防..要鎖掉USB惹
作者:
Sich (阿德是笨蛋)
2017-05-17 00:54:00想趁機問一下各位大大,除了物理封鎖usb槽,有什麼有效控制usb裝置的方法?小的公司對外算得上很周全(因為4年前有被攻擊到整個系統崩潰一個月)可是對內我感覺還是跟紙糊的沒什麼兩樣...
作者:
idunhav1 (你知道天空為什麼是藍的?)
2017-05-17 01:02:00sandboxie?
提示框是最近版才有的 之前的沒有提示框 似乎是txt文檔或是有另一個要你點開看的檔案 這病毒越來越人性化了
因為不人性就勒索不到錢,現在勒索軟體有多國語言有換比特幣教學,還有客服信箱就是希望能確實收到贖金
作者:
po77916 (ql4ql4q)
2017-05-17 11:30:00把病毒抓來玩 聽起來有點變態..難怪病毒要自殺
作者:
erxx2002 (erxx2002)
2017-05-17 12:18:00專業的阿宅
作者:
kondoyu (pppk)
2017-05-17 13:28:00病毒會自殺很正常啊 妳看看女忍者被抓到的下場
作者:
F16V (Manners maketh man.)
2017-05-17 13:50:00現在有對魔忍病毒嗎
作者: modkk (魔德軻軻) 2017-05-17 19:08:00
對樓上的講法感到興奮
作者:
LOVEMS (ç‰åˆ°è¶ŠéŽå¤©ç©ºé‚£å¤©)
2017-05-18 10:45:00有些大企業會禁USB,頂多開少數電腦專門供USB使用,不這樣作就搞死IT/MIS而已