日誌

Wanna　Cry

熱度 4已有 607 次閱讀2017-5-19 18:33

前很多天大姊姊就已經告誡我要注意這個勒索病毒軟體

今天她要我去檢查電腦

噢NO！

真的有奇怪的東西悄悄的植入了筆電

現在狀態是

完全不敢用筆電處理任何線上轉賬的動作

去爬了下文

看到一個叫Ryan　Chen的網友留言，個人覺得蠻有見地的

跟大家分享一下

也希望大家要注意

一下是這位Ryan在Youtube上的回文

個人在今年1~2月中過2次的經驗：補充版勒索病毒2個分類：第一類：這是早期的，透過flash、email，需要點擊才中，被動式。但也不完全是被動，例如 flash也有特例，有些網站讓廠商放flash廣告，廠商不見得是廠商，也可能是黑客合法買下廣告，在flash的actionscript寫入腳本，這種腳本，不需要你去點擊只要進網站就會自動播放flash，自動執行跳轉到病毒網站，這個時候，它想讓你中什麼就中什麼，也就中獎了，我2次都是中這個。第二類：近期的透過445,137,139,3389，port來做遠端掃描。如果你的電腦是接在小烏龜，那就是裸奔電腦，真實ip出去連網路。如果你的電腦是接在ip分享器(幾乎都有內建防火牆)，風險就降了九成。除非你自己開port，或是下載會自動開啟這些port的軟體。 445,137,139：主要是針對區域網，也就是說區域網內只要有一台中毒，這台就會掃區域網的電腦。 3389：主要是從外部直接攻擊裸奔電腦。針對內外網的定義port，我無法做詳細解說，請不要拿非正常的情況下來打我臉，我是指正常的情況下。 Q：為什麼我裝了防毒軟體還會中獎？ A：你中的大概是第一類，勒索病毒，其實嚴格來說，它不是病毒。它是加密軟體，防毒軟體是不會對加密軟進行封鎖。一般會寫程式的，寫個加密軟體，不是什麼難事。就這樣繞過防毒(現在的的黑客不會跟防毒硬碰硬，繞過去就好了。) 舉例：小偷偷車，車的警報器會響。小偷因為偷不了車，買了大鎖，鎖你的車，並留下紙條勒索，警報器不會響。 Q：為什麼我一開機，什麼都沒做，也沒連網路，也中獎？ A：勒索病毒，是有潛伏期的，也就是說，你早就中了，只是沒發作。要讓全世界統一時間攻擊並中毒，這個難度很高，但不是不可能。所以我是比較偏向，不是同時間中毒，而是同時間發作，中毒時間與發作時間不見得是同一時間。 Q：中了，有辦法救回資料嗎？ A：3種方法 1.破解密碼：不可能 2.給錢：不可能，但給第3種方法，一個方向，待會說明。 3.救援軟體：若你要救，千萬不要重灌，或格式化硬碟。根據第2點：給錢。黑客如何知道比特是誰付款，他不知道，怎麼如何幫你解密，這很容易被反追蹤，黑客哪知道付錢的是不是FBI(不是爆牙哥)。各位說給錢就能破解的，請拿出證據，別再害人了。黑客有給一個DEMO讓你試解，的確可以解部分檔案，讓你相信，這部分我有試過是OK的，但我不認為它是解密，而是複本。從這可以推論：你的檔案其實有可能有複本，也就是說，這個病毒，他在加密時同時，也有複本。你的檔案或許可以重複本救回來，但也可能是救到舊版的檔案，至少有檔案，軟體去G一下救援軟體，就有了，我就是用這個救回一些檔。 Q：中了，第一時間怎麼辦？ A：拔網路線就對了，拔電源。第一拔網路線，是為了避免你感染區域網的電腦，擴散出去。第二拔電源，避免，它一直加密檔案。(拔電源跟關機是有區別的，你按關機太慢了)。你要知道，它在加密的時候，硬碟是100%執行，這個也可以讓你第一時間知道有沒有中獎，上網時隨時注意！看你的硬碟燈有沒有發瘋式的閃(當初就是看到，所以第一時間就拔電源)。不要再開機，硬碟要用外接的方式，從另一台電腦使用救援軟體。 Q：測試更新系統有沒有用？ A：如果你覺得更新系統有用，如何證明？安裝virtualBox，然後一一測試，執行病毒看看會不會再中。我可以肯定告訴你，一定會中。為什麼？這是殘酷的事實。為什又會中，因為SMB肉洞更新，只是防止中獎途徑，不是防止中獎，這是有區別的。今445POR也是這個意思。主要還是防毒軟體，會不會讓加密軟體執行加密動作。我做個結論：很多人搞混 1.病毒跟加密軟體是不同的，例舉RAR加密，你的防毒會告訴你，你中毒了嗎？不會。你弄個BAT，自動執行RAR或ZIP加密。不用寫程式，恭喜你，你也成為黑客了。 2.防毒軟體是防毒，防火牆是防途徑，防毒軟體不能防途徑，防火牆不是拿來防毒。 3.近期的病毒，是早期的，加上一個途徑功能(加大區域網感染範圍而已，不是什麼從外網破防火牆滲透，沒有比較勵害，個人覺得第一代比較有創意，flash才真的有效難防，目前chorm對flash是不會自動播放，網站設計師都知道播影片都用html5語法，不再用flash) 4.以上都不是重點，重點是執行加密這個動作，防毒軟體不認為加密動作是病毒。整篇文章重點就這一句。目前無解的 5.防毒軟體基本原理： a.先有病毒，才有防，防毒軟體是事後豬哥，不是裝防軟就沒事，不裝，也肯定有事。出來混，中個2兩隻，很正常，不用大驚小怪，養肥一點，自然你會知道他的存在。 b.根據封包，看有沒有特殊危險指令(例：format，sql不加單引號，也就是特徵碼，再白一：病毒碼)，來判斷這是不是病毒。當然也會誤判，不是防軟，就一定是正確的。病毒寫的好，就是免殺病毒。如何寫出免殺，合法蓋非法(你懂的)。 Q：我目前的配置 A：不裸奔、不使用IE，使用Chrome，並安裝ADblock與ADblockplus擋廣告。安裝comodo防火牆，裡面有一個沙箱功能(用來模擬執行程式(加密)，但不是真的在真實的資料執行)，我不詳說，自己去G一下。 Q：假如我是害客，我不是 A：開發方向如下 1.社會工程學：要有這個特性，什麼叫社會工程學，白一點，當你收到某冒名你朋友的信或line，但事實它是個坑。 2.用合法掩互非法：例DDOS及加密軟體，白一點，讓你的電腦無法辦識，這是合法動作還是非法動作，不會笨到去硬碰硬。 3.搞防獄→用來戰爭防獄用，例如，發射核蛋，就加密國防部(國防部可以考慮買個勒鎖病毒樣本回來研究，成本低，比買f22便宜)，搞破解，比搞加密難。得不到，你也別想用。 4.賺錢用→這次的黑客，敗筆在比特幣，為什麼要用比特幣，白一點，匿蹤，為什麼說是敗筆，我TMD會用現金、信用卡，支付寶、微信支付、QQ紅包，就是不會用比特，腦子浸水，以為全世界都是電腦高手，都有比特帳戶。上次台灣atm自動吐錢，不難，重點是取款要匿蹤。 Q：假如我是白客，我不是 A：防堵方向社會工程學：反姦，不是防堵，故意中獎，凡走過必留恆雞，凡用過必留嗯？，解決源頭，才是王道，看黑客動機，若是錢，就用錢吸收成白客。用合法掩互非法：不對感染途徑花太多思心，因為太廣，什麼445port啦。目前比較有效的動作，就是宣導，不要笑。這是事實。人質中夾雜著土匪，各各帶面具，你能有多少把握不打中人質。比特幣：關掉它吧。洗錢路徑被關，想賺錢又不被捉的動機就減少了。成為白客，要先成為黑客，才能成為白客，你才知道黑客在想什麼。先有病毒，才有防毒(例如疫喵)，病毒永遠是走最先的。

鏈接　：

https://www.youtube.com/watch?v=fxqGjrA5ECY&t=1s

Ryan大的留言在第四個

我不會把圖切小只好整張弄上來

以下是筆電的程式安裝那頁

圈起來的那幾個

確定沒有裝過

也沒更新過Flash

也從來沒允許自動更新過

它就這樣悄悄的來了