因應 #勒索病毒 😱 備份、升級不可少...
#防患未然 #駭客攻擊瞬息萬變
#阻擋一波擴散_馬上又有變種
五月的第二週原本是溫馨美好的母親節,但WannaCryptor勒索軟體擴散訊息搶佔各大媒體報導,成為襲捲全球的大新聞。小編整理相關資訊讓您快速掌握IT人員及一般使用者的緊急應變措施以及了解WannaCryptor勒索軟體。
先別說這麼多,以下步驟您做了嗎 💁
👷 如果您是IT人員:
⭕ 防火牆攔阻 445 Port 流量並考慮限制 Tor 流量;
⭕ 入侵偵測系統設定阻擋 MS17-010 漏洞之特徵或規則;
⭕ 清查公司電腦資產,確認公司作業系統修補程序與資安軟體的部署狀態;
⭕ 部署微軟官方提供最新的修補檔;
⭕ 目前大多數的防毒軟體廠商均緊急提供特徵碼,將防毒軟體更新到最新版;
⭕ 備份公司重要檔案。
💡 原先 WannaCry 會連結一個未註冊的網域作為防衛機制,有資安研究人員嘗試註冊該網域,成功暫停 WannaCry 擴散。但目前已經發現新的變種,✨✨✨✨ 所以這個方式已經不再有效,請勿掉以輕心 ✨✨✨✨
👩 如果您是一般使用者:
⭕ 確認電腦無法上網後,停用 SMBv1;
⭕ 安裝從微軟官方提供最新的修補檔;
⭕ 將防毒軟體更新到最新版;
💡 停用 SMBv1 方式按開始,然後搜尋「開啟或關閉 Windows 功能」,把 SMB 選項取消打勾,並重新開機。或者:打開 Windows PowerShell,並輸入「Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol」(需要管理者權限)
💡 Windows各版本更新修補檔請參考微軟釋出說明:https://blogs.technet.microsoft.com/…/CUSTOMER-GUIDANCE-FO…/
👾👾👾👾👾👾👾👾👾👾👾👾👾👾
❓到底什麼是勒索病毒WannaCryptor
👾 WannaCry 被認為是基於美國國家安全局的「永恆之藍」EternalBlue 工具來發動攻擊,將受害者電腦內的檔案加密,並收取比特幣作為解密的贖金
👾 駭客組織 (The Shadow Brokers) 今年四月發布了一批從方程式組織(Equation Group) 洩漏的工具,其中便包括「永恆之藍」
👾 「永恆之藍」利用 SMBv1 的漏洞擴散,只要連上網路,用戶毋須任何操作,駭客便可植入執行勒索軟體、遠端控制電腦等惡意程序
👾 微軟於 2017 年 3 月 14 日已經發佈 MS17-010 系統修補程式來防堵此漏洞,但當時該修正程式只提供給較新的作業系統
👾 利用 AES-128 以及 RSA 演算法加密,並透過 Tor 通訊,因此難以反解密檔案與追蹤來源
❓受害與影響範圍
👾 WannaCry 提供 28 種語言,要求用戶支付 300 – 600 美元等值的比特幣贖金,並給予三天時間匯款,超過時間贖金則會翻倍,超過一周仍未付款則會「撕票」
👾 WannaCry 會同時在電腦上安裝 DOUBLEPULSAR 後門程式,它是另一款NSA 遭外洩的駭客工具
👾 主要針對Windows SMBv1的弱點進行攻擊,此次攻擊除利用電子郵件外,亦將會透過區域網路於內部快速擴散(有人中獎將於內部快速Remote感染擴散)
👾 可能遭影響的作業系統包含:
🖥 Windows XP
🖥 Windows 2003
🖥 Windows Server 2008 & 2008 R2
🖥 Windows Server 2012 & 2012 R2
🖥 Windows 7
🖥 Windows 8
🖥 Windows 8.1
🖥 Windows RT 8.1
🖥 Windows 10
🖥 Windows Server 2016
⚡⚡ 駭客攻擊的世界瞬息萬變,緊急處理措施完成後,務必持續檢視資安防護的完善程度有效降低資安風險 ⚡⚡
附圖中藍點為被攻擊區域,可見受災範圍十分廣泛,也同時提供您預防及解決勒索軟體的流程參考。
#請持續關注解決方案
445 port開啟 在 Re: [問題] 445 port - 精華區AntiVirus - 批踢踢實業坊 的推薦與評價
※ 引述《sunr (瑞)》之銘言:
: 有誰能告訴我是為什麼嗎????
: ※ 引述《sunr (瑞)》之銘言:
: : 我的445 port一直有人要連進來
: : 目前是用防火牆擋住了...
: : 不過我想知道我是不是要去更新windows???
看起來有可能是別人中毒正在攻擊你...
WORM_DELODER.A
https://www.trendmicro.com/tw/about/news/pr/archive/2003/pr030310.htm
https://www.epochtimes.com/b5/3/3/12/n285477.htm
或是
W32/Lioten Malicious Code
https://www.cert.org.tw/news/021228.php
Port 445的功用
https://www.petri.co.il/what_is_port_445_in_w2kxp.htm
--
Google大神好用
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.230.51.207
> -------------------------------------------------------------------------- <
作者: polonine (汪汪小白) 看板: AntiVirus
標題: Re: [問題] 關於卡巴斯基..
時間: Sat Mar 12 20:48:45 2005
※ 引述《blcakic (隱藏模式)》之銘言:
: 注意!您的電腦正受到來自網路的攻擊
: 來自 LASS exploit的網路攻擊 70.22.27.234 已經被成功攔截
: (那個IP會一直變 目前出現了10幾組 也有218 220 開頭的)
: --
: 推 lchuai:重灌不代表就能把毒清乾淨@@ 曾經有個大大這麼跟 218.164.93.244 03/12
: → lchuai:我說過0rz 218.164.93.244 03/12
: 推 userbrian:開防火牆,上 Windows Update 更新,要是還有 218.164.19.43 03/12
: → userbrian:訊息就別理他了XD.更新要全裝喔,不要見洞補洞 218.164.19.43 03/12
嗯...我前天將卡巴斯基防毒軟體更新版本到5.0.227版時
就一直跳出LASS exploit的網路攻擊警告
因為它攻擊的都是445port
所以就特地查了一下
用開始功能表的"執行" 輸入 cmd 後再輸入 netstat -a -n
發現有五個連線使用445port
而其中ip位址都不一樣
所以,特地去網路上找了445port相關資訊方法和解決的方法
你可以參考看看..我用了之後..就沒攻擊警告..netstat -a -n也沒有445port的連線資訊
Windows會自己自動開啟Port 445,也就是SMB Session (Server Message Block)‧
如果這一個端口是開啟的,那麼遠端使用者就還是照樣有辦法知道您的電腦很多資訊
在開始功能表"執行"regedit,在 HKEY_LOCAL_MACHINE 展開:
System\CurrentControlSet\Services\NetBT\Parameters
裡頭會有一個名稱叫做:TransportBindName
把這一個名稱的值清空
重開機即可
... <看更多>