Re: [情報] WannaCry的kill switch 被發現了 - terievv板

Disp BBS guest 註冊登入(i) 線上人數: 375

首頁(home) 上頁(↑) 下頁(↓) 末頁(end)

※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-13 16:29:36

看板 AntiVirus

作者 ChoDino ()
標題 Re: [情報] WannaCry的kill switch 被發現了
時間 Sat May 13 14:29:35 2017

先說個結論：

有人發現了方法並停止了病毒的散播，已中獎的目前無解。未中獎的儘快更新，因為病毒

會變種，這方法也許很快就會失效，一失效就會開始擴散。

----

故事開始

Cisco Umbrella 的研究人員發現有個奇怪的網址突然大量的被要求解析

http://imgur.com/4EDSn8W

另外也有人分析病毒的行為後，得知病毒有個子程序會送一個HTTP請求給一個網址，若

請求失敗，便會傳播，若請求成功，這個子程序就會結束。

http://imgur.com/XicGEF9

似乎以上兩個線索不謀而合，然後就有勇者花了10.69鎂去註冊了這個網域，讓病毒送請

求成功。請求成功，子程序結束，便不會傳播。

再次觀察病毒行為，成功的停止了病毒的擴散。

https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg

大概就是這樣，儘量刪掉專有名詞，希望有興趣的也看得懂。

這塊只算碰得上邊，不算真懂，若有錯誤再麻煩指正。

以上來源：

勇者 Twitter
https://twitter.com/MalwareTechBlog

這篇有此次勒索軟體的詳盡分析與解說
http://blog.talosintelligence.com/2017/05/wannacry.html

Cisco's Talos Intelligence Group Blog: Player 3 Has Entered the Game: Say Hello to 'WannaCry'

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章代碼(AID): #1P5gVKUu (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494656980.A.7B8.html

※ 同主題文章:

　 05-13 12:18 tallgeese05. ■ [情報] WannaCry的kill switch 被發現了

　 05-13 13:15 a1e. ■ Re: [情報] WannaCry的kill switch 被發現了

● 05-13 14:29 ChoDino. ■ Re: [情報] WannaCry的kill switch 被發現了

　 05-16 19:58 topgear7425. ■ Re: [情報] WannaCry

推 StrikeBee: 推解說，回家詳細研究一下1F 05/13 14:33

推 nk950357: 推 10.69在暗示什麼我覺得我懂2F 05/13 14:34

→ balberith: 更簡單來說就自殺開關被打開了(?3F 05/13 14:35

→ deadwood: 就是勒索病毒已經設定好一個自毀機制，被找出來利用4F 05/13 14:36
→ deadwood: 但是說穿了，只要設計者隨便改一下請求的域名就又復活

推 nk950357: 話說vipre+ Malwarebytes擋得住這次的勒索嗎6F 05/13 14:38

→ deadwood: 修補漏洞才是根本之道7F 05/13 14:38

推 a3831038: 病毒隨便改一下連結網域就沒用了阿8F 05/13 14:39

→ ChoDino: 他沒有自毀，只是他不會再從你家繁殖到隔壁鄰居家了。9F 05/13 14:39

→ nk950357: 有更新到1703了怕以後突然遇到因為電腦現在是我媽用10F 05/13 14:39
→ nk950357: 他跟公司又要遠端連線很怕中到

推 horseorange: 病毒製造者改網址不就又沒用了？12F 05/13 15:16

推 belion: 現在有用啊……13F 05/13 15:22
→ belion: 所以現在快補漏洞…

※ 看板: terievv　文章推薦值: 1 目前人氣: 0 累積人氣: 175　

作者 ChoDino 的最新發文:

+62 Re: [投稿] 使用 PTT Alertor 追PTT文章省錢 - Lifeismoney 板

作者: ChoDino 1.170.46.139 (台灣) 2017-07-02 09:13:04

感謝各位板眾的支持，在省錢板的人氣最好陸續有接到一些人提出推文追蹤的功能，我自己是用 JPTT 滿足此需求不過在許多人的建議後就開發了，自己覺得還算不錯。注意：Ptt 網頁版推文更新速度約為 5 …

66F 62推
+120 [投稿] 使用 PTT Alertor 追PTT文章省錢 - Lifeismoney 板

作者: ChoDino 1.170.41.232 (台灣) 2017-06-24 16:52:42

PTT Alertor 是為了追 Ptt 的文章所誕生的聊天機器人它可以訂閱看板加上關鍵字或作者，即時通知最新文章我算是一個環保與節儉的人如果東西可以我都買二手，沒 e-coupon 就不買書， …

145F 120推
+68 [推薦][自製] PTT Alertor PTT新文章即時通知 - EZsoft 板

作者: ChoDino 1.170.15.14 (台灣) 2017-06-13 22:19:54

Ptt Alertor LINE Bot, Facebook Messenger Bot, Telegram Bot 2017/08/21 修復看板名稱沒有忽略大小寫問題。 2017/08/09 新增 …

141F 69推 1噓
+23 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統 - AntiVirus 板

作者: ChoDino 117.56.162.73 (台灣) 2017-05-13 15:50:21

文章看都看完了，順便翻譯一下。以下是這病毒會做的事。 ---- 1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。 2. 送出HTTP請求給特定網域名，確認是 …

42F 24推 1噓
+6 Re: [情報] WannaCry的kill switch 被發現了 - AntiVirus 板

作者: ChoDino 117.56.162.73 (台灣) 2017-05-13 14:29:35

先說個結論：有人發現了方法並停止了病毒的散播，已中獎的目前無解。未中獎的儘快更新，因為病毒會變種，這方法也許很快就會失效，一失效就會開始擴散。 ---- 故事開始 Cisco Umbrella 的 …

14F 6推

分享網址: 複製

DispBBS

(￣︶￣)ｂ justif 說讚！

回到看板(←)《terievv》

r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄同主題: =)首篇 [)上篇 ])下篇

回列表(←) 分享