綜整 Wanna Cry 勒索病毒 攻擊事件

綜整 Wanna Cry 勒索病毒 攻擊事件    更新時間:      2017/05/19 09:06:34


摘  要:【WanaCrypt0r 2.0 弱點情報】

根據情報通知,WanaCrypt0r 勒索軟體(Wanna Decryptor, WanaCrypt0r 2.0, WanaCrypt, WCRY)正在全球擴散攻擊中,
除應用CVE-2017-0143~0148的SMB遠端連線攻擊方式,
更會主動式的搜索內部目前尚未完成更新之windows主機,
影響範圍從windows XP 至目前windwos 8 (未完成SMBv1~v3 遠端連線關閉)之主機。

攻擊時間從上週五(2017/5/12)至今攻擊已超過10萬次仍未停歇,
目前已知已有104國家的主機已經受害,
英國地區已有NHS(National Health Service)仍有9成以上的電腦仍使用windows XP,
美國的FedEx已被攻擊成功,中國大陸的ATM主機也被攻擊成功,
台灣地區更是超過3萬台以上的設備目前仍具有高度威脅可被攻擊成功。

目前已知全球已被攻擊主機數量超過23萬台(intel.malwaretech.com),
目前仍有9萬多台仍持續擴散感染中,另外來自FBI的白皮書內容,已開始針對重要Tor主機與IP進行嚴密監控作業。

這套名為「想哭」(WannaCry)的勒索軟體利用微軟旗下Windows作業系統的弱點,乘虛而入。
微軟3月已發佈補救措施,但若沒有即時更新電腦,檔案就可能遭勒索綁架。

資安公司Avast表示,已追蹤到遍佈99國的超過7萬5000起網路攻擊事件,
且主要的攻擊聚焦在台灣、烏克蘭和俄羅斯

在本次攻擊中,勒索軟體將鎖住中標電腦中的全部檔案,並要求機主付錢,才能拿回電腦控制權。

WanaCrypt0r 2.0 透過系統漏洞攻擊

在 5 月 12 日晚間,臉書與PTT突然傳出許多勒索病毒的災情,其特色是:
1.不知道為何中毒,沒有去奇怪的網站
2.檔案的副檔名被更改為 .wncry
3.受災戶大多坐落在 Win 7 的使用者
4.中毒提示視窗為紅色邊框,有多國語言版本可以選擇

透過中毒提示視窗,我們可以得知這款病毒名為「WanaCrypt0r 2.0」,
其索取金額高達 300 美金,透過內容訊息可以得知,
勒索病毒作者要求在三天內付款,三天一到就是翻倍贖金,而如果一到七天,檔案就會永久無法刪除。

卡巴斯基實驗室(Kaspersky Lab)專家鮑加納(Kurt Baumgartner)告訴CNN:
「電腦中毒後,使用者有6小時時間支付贖金,每過幾小時贖金會愈來愈高。
大部分在一開始幾小時就付錢的使用者,似乎會支付高達300美元(約9000台幣)的贖金。」

【影響範圍】Windows 作業系統

【測試方式】

根據HiNet SOC情報人員分析,目前已有下列方式可測試目前是否具有高度受害之可能性:
確認windows 版本之SMB是否開啟與相關windows update 是否已經完成patch 修正,
點選WindowsUpdate的檢視更新紀錄,檢查有無對應KB編號。各版本修正檔案如下:

Windows 7, Server 2008 R2    KB4012215
Windows Server 2008    KB4012598
Windows Server 2012 R2    KB4012216
Windows Server 2012    KB4012217
Windows Server 2016    KB4013429
Windows Vista    KB4012598
Windows 8.1    KB4012216
Windows 2003    KB4012598
Windows XP    KB4012598

透過工具程式進行確認
於Github:
https://github.com/countercept/doublepulsar-detection-script ,
可進行單一電腦或內網電腦掃描,
用戶須先安裝python程式進行測試,
輸入以下命令:python doublepulsar_smb.py —ip xxx.xxx.xxx.xxx,
如測試結果為No presence of DOUBLEPULSAR SMB implant,
代表無SMB弱點可被攻擊。
3. 根據HiNet SOC情報搜集,目前有大量可疑IP與DN進行攻擊,
用戶可自行評估是否需進行阻擋,
或透過防火牆設備關閉port 137,139,445外部連線功能,
IP與DN清單如下:

96.127.190.2    www.43bwabxrduicndiocpo.net
184.154.48.172    www.dyc5m6xx36kxj.net
108.163.228.172    www.gurj5i6cvyi.net
200.58.103.166    www.bcbnprjwry2.net
216.145.112.183    www.sxdcmua5ae7saa2.net
162.220.58.39    www.rbacrbyq2czpwnl5.net
192.237.153.208    www.fa3e7yyp7slwb2.com
75.126.5.21    www.wwld4ztvwurz4.com
128.31.0.39    www.bqkv73uv72t.com
144.76.92.176    www.xanznp2kq.com
148.244.38.101    www.chy4j2eqieccuk.com
149.202.160.69    www.lkry2vwbd.com
163.172.149.155    www.ju2ymymh4zlsk.com
171.25.193.9    www.graficagbin.com.br
195.22.26.248    www.sdhjjekfp4k.com
197.231.221.221    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
198.96.155.3    
123.61.66.117    
46.101.142.174    
46.101.166.19  
62.210.124.124    
91.121.65.179    
91.219.237.229  

目前已有防火牆廠商,IPS廠商已提供防範Pattern阻擋此類攻擊發生
HiNet SOC以整理如下,敬請用戶自行檢查是否已更新到最新版本:

Palo alto  
Name: Microsoft Windows SMB Remote Code Execution Vulnerability
Unique id:32424,32494,32427,32393,32716,32422

checkpoint  
Microsoft Windows EternalBlue SMB Remote Code Execution

sourcefire  
Snort Rule: 42329-42332, 42340, 41978

Trendmicro    Trend Micro Deep Security and Vulnerability Protection
IPS Rules 1008224, 1008228, 1008225, 1008227

Trend Micro TippingPoint  
Filters 5614, 27433, 27711, 27935, 27928

Forint  
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

Emerging Threats  
alert smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

mcafee  
NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability
NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability
NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability
NETBIOS-SS: Windows SMBv1 information disclosure vulnerability

【WanaCrypt0r 2.0 弱點情報】

根據情報通知,WanaCrypt0r 勒索軟體(Wanna Decryptor, WanaCrypt0r 2.0, WanaCrypt, WCRY)正在全球擴散攻擊中,
除應用CVE-2017-0143~0148的SMB遠端連線攻擊方式,
更會主動式的搜索內部目前尚未完成更新之windows主機,
影響範圍從windows XP 至目前windwos 8 (未完成SMBv1~v3 遠端連線關閉)之主機。

攻擊時間從上週五(2017/5/12)至今攻擊已超過10萬次仍未停歇,
目前已知已有104國家的主機已經受害,
英國地區已有NHS(National Health Service)仍有9成以上的電腦仍使用windows XP,
美國的FedEx已被攻擊成功,中國大陸的ATM主機也被攻擊成功,
台灣地區更是超過3萬台以上的設備目前仍具有高度威脅可被攻擊成功。

目前已知全球已被攻擊主機數量超過23萬台(intel.malwaretech.com),
目前仍有9萬多台仍持續擴散感染中,另外來自FBI的白皮書內容,
已開始針對重要Tor主機與IP進行嚴密監控作業。

防護措施及建議

  • 首先最重要的是此波攻擊是針對已知的微軟安全性弱點,請透過 GPO 或是微軟官方的說明停用 SMB    http://ppt.cc/DgcCk
  • 先將網路停用外部連線功能, 管理者至windows AD派送以上之KB修補程式至所有主機進行更新作業。
  • 強烈建議您為作業系統安裝最新的修補程式,尤其是跟安全性弱點 MS17-010 相關的安全性修補程式。 
  • 確認防毒程式,防火牆,IPS等已更新至最新版本病毒碼與偵測程式碼,請參考以上內容。
  • 建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。
  •  無中勒索病毒之電腦主機,即刻將重要資料備份,備份資料離線保管。
注意事項:

  • 被感染的電腦,會產生TOR封包而且有TCP 443,TCP 9001...等等的TOR封包對外,至於TCP 445的封包,並沒有特別異常

  • 此病毒會先跑檔案加密,但是卻不一定會擴散感染、設定電腦重新開機

  • 此病毒加密的時候會做大量寫入,CPU用量沒有增加

  • 網路封包量沒有特別變化 特別是SMB的TCP-445與TCP-139,也沒有暴增的UDP-135,136,137,138

  • 勒索畫面出現時 事實上 惡意軟體 是 在背景對檔案加密 基本上 如果 馬上 刻停止執行 惡意軟體 應該 來得及救檔案 最好 馬上就關機

  • 建議可以觀察 TCP 443 屬於 TOR封包 就可以大概知道

  • WanaCrypto 防火牆 設置 相關建議 最好擋下 對內對外 TCP 445 跟 138 139 還有 內對外 TCP 9001 9002 9988 斷了他的通訊線 讓她只剩下 TCP 443

趨勢產品作法參考:

趨勢科技於今年四月中首次監測到勒索病毒(RANSOM_WCRY.C),最初它透過網路釣魚攻擊誘使使用者從Dropbox網址下載惡意程式;而在這個週末,趨勢科技發現這個肆虐全球的勒索病毒「WannaCry/Wcry」已進化為結合了Windows Server Message Block (SMB)伺服器漏洞EternalBlue(亦被稱為CVE-2017-0144和MS17-10)與新勒索病毒家族(RANSOM_WCRY.I / RANSOM_WCRY.A)的新變種



設定更新與下一代技術:
趨勢科技客戶使用最新版本 OfficeScan 與 WorryFree Business Security
請確保已啟用「預測性機器學習」功能(OfficeScan XG 版本、Worry-Free Services、CloudEgde)
以及所有與勒索病毒相關的防護功能。
相關設定資訊請參考此則 KB 文章https://success.trendmicro.com/solution/1112223



病毒碼
趨勢科技已可偵測已知的病毒變種及元件,請確認您已更新病毒碼至下列版本:
雲端病毒碼- 13.399.00
傳統掃瞄病毒碼- 13.401.00



趨勢科技網頁信譽評等服務(Web Reputation Services,WRS)
已加入已知的命令控制伺服器(Command and Control servers,C&C)。

趨勢科技 Cloud Edge 客戶請確認更新並套用以下規則
IPS Rules 1133635, 1133636, 1133637, 1133638 SMB Microsoft MS17-010 SMB Remote Code Execution。



趨勢科技 Deep Security 與 Vulnerability Protection已釋出了防堵此漏洞的規則更新。
建議客戶儘快下載並套用至最新的規則更新
IPS Rules 1008224, 1008228, 1008225, 1008227 Includes coverage for
MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities



趨勢科技 Deep Discovery Inspector客戶請確認已更新以下規則並監控是否偵測C&C連線
DDI Rule 2383:CVE-2017-0144 Remote Code Execution SMB (Request)



趨勢科技 TippingPoint客戶請確認已更新以下規則
Filters 5614, 27433, 27711, 27935, 27928 Includes coverage for
MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
and attacks
ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation

非趨勢科技企業客戶
除了建議您修補Microsoft漏洞之外,趨勢科技現提供非OfficeScan、Worry Free使用者的企業免費風險評估工具此工具採用最新機器學習技術,企業可申請使用
Trend Micro™ Machine Learning Assessment Tool
http://visit.trendmicro.com/Y0X2U1YQg00xa053WXC0aDR



WCry ransomware hidden C2 hosts (Tor onion address)

http://gx7ekbenv2riucmf.onion
http://57g7spgrzlojinas.onion
http://xxlvbrloxvriy2c5.onion
http://76jdd2ir2embyv47.onion
http://cwwnhwhlz52maqm7.onion

微軟:
●Windows Server 2003 SP2 x64 :
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe



●Windows Server 2003 SP2 x86 :
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

●Windows XP SP2 x64 :

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

●Windows XP SP3 x86 :

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe


●Windows XP Embedded SP3 x86 :
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe

●Windows 8 x86 :


http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu



●Windows 8 x64 :
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu



備註:目前相關連結皆有極大量人數連線中,可能導致連結速度緩慢。

另其他作業系統的修補程式可從下列連結取得修補程式
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

●Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016 請參考以下連結,更新至微軟發佈的MS17-010即可
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx

政府:
因應勒索病毒 政院:部會電腦更新至最新狀態
http://news.ltn.com.tw/news/politics/breakingnews/2067076

在勒索病毒肆虐時上班第一天要做什麼
http://ppt.cc/w5mvE


其他參考資料:


中文參考資料
如何躲過WannaCry勒索蠕蟲風暴?週一上班先不要開電腦,照著這些方法做
http://www.ithome.com.tw/news/114148



WanaCrypt0r 2.0 解毒 、資料救援與如何預防 全攻略
https://www.kocpc.com.tw/archives/146366



勒索病毒攻擊恩主公醫院 醫療推車電腦中鏢
http://www.appledaily.com.tw/realtimenews/article/new/20170514/1118432/



MS17-010漏洞檢測與內網穿透技術的應用
http://fuping.site/2017/04/21/MS17-010-Vulnerability-Detection-And-Ngrok/



Windows 10 逃不過 WannaCry 勒索病毒!你的自動更新啟用了嗎
https://www.soft4fun.net/tech/news/wannacry-windows-10-2016-affected.htm



這次的勒索軟件沒加殼,有人用od 直接跳轉讓它解密了
https://mobile.twitter.com/shellexy/status/863331007260262400



微軟 WINDOWS 201705 綁架病毒解決方案:更新作業系統
https://news.xfastest.com/microsoft/34301/windows-201705-ransomware-solution-is-to-update-windows-os/



預防勒索病毒,五大絕招! 史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,全球氾濫!趨勢科技教你拒當資安人質
https://blog.trendmicro.com.tw/?p=49682



決戰WanaCrypt0r!中國網友拿19款防毒軟體練兵:斷網、不更新病毒碼,哪些防毒軟體主動防禦成功?
http://ppt.cc/PQyl7



因應WannaCrypt攻擊,微軟官方公布Windows Server 2003及XP修復程式
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/



WanaCrypt0r 2.0 手動防止和偵測法
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html?m=1



勒索軟體WanaCrypt0r 2.0攻擊全球 Windows 系統漏洞
http://technews.tw/2017/05/13/ransomeware-wanacrypt0r-2/



XP也有救!WanaCry 2.0勒索軟體肆虐,微軟破例再釋Windows XP修補
http://www.ithome.com.tw/news/114145



WanaCry 2.0勒索軟體狠襲全球,上百個國家受駭,台灣也是重災區
http://www.ithome.com.tw/news/114144



微軟譴責美國政府監控政策引發WannaCry災情!
http://www.ithome.com.tw/news/114157



為協助抵禦大規模惡意勒索病毒的侵襲,請用戶立即安裝微軟於三月釋出的安全性更新MS17-010
https://news.microsoft.com/zh-tw/windowsdefender/#sm.0000535813159xdpuvym8a1p5ik3g



WanaCrypt0r 2.0 勒索病毒放大絕,更新預防與檢測方式,台灣目前為主要攻擊國家
https://ez3c.tw/5598



近期勒索軟體WannaCry活動頻繁,請立即更新作業系統與防毒軟體,並注意平時資料備份作業
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1060



【警訊 】解析WannaCry/Wcry “想哭”勒索病毒,感染流程與預防方法
https://blog.trendmicro.com.tw/?p=49644



[病毒警訊] WannaCry/Wcry 勒索病毒入侵,全球氾濫!趨勢科技提供防禦機制
https://blog.trendmicro.com.tw/?p=49627



WannaCry (WannaCrypt) 加密勒索軟件加密受害者數據
https://www.hkcert.org/my_url/zh/alert/17051301



Wanna Decrytor / WannaCry / Wcry 勒索病毒影響全球 : Windows 香港受害者上升中 (附:預防 刪除 方法)
https://unwire.hk/2017/05/13/wannacry-wcry/top-news/#!prettyPhoto



WannaCry蠕蟲詳細分析
http://www.freebuf.com/articles/system/134578.html



緊急通知:多所大學中勒索病毒:防範勒索病毒的緊急通知
http://mp.weixin.qq.com/s/rxaRQH0KlxLTdnRxv0fl9g



UBLINK技術討論區  YC_Chiang 提供 勒索病毒檔案監控防護程式
http://ns2.ublink.org/viewtopic.php?f=27&t=5949&sid=2fe86528186c0a3fcb8a302a79449f3b



WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html?m=1



全球網路攻擊萬箭穿心 台灣成重災國
http://ppt.cc/o1vxg



[病毒警訊]RANSOM_WANA.A 勒索病毒入侵,全球氾濫!趨勢科技提供防禦機制
https://blog.trendmicro.com.tw/?p=49627



WanaCrypt0r 2.0 攻擊系統漏洞 台灣成全球第二大勒索病毒受災國家
https://www.kocpc.com.tw/archives/146227



WannaCry勒索病毒發作中 可以有效清除嗎
http://ppt.cc/OMHgl



[技術原創] WanaCrypt0r勒索病毒:19款殺軟主防測試
http://bbs.kafan.cn/thread-2089134-1-1.html



WanaCrypt0r 2.0 大規模攻擊漏洞系統相關資訊整理與現階段預防方式(2017.05.14更新)
http://ppt.cc/Cc41G



WannaCry/Wcry 勒索病毒入侵,全球氾濫!趨勢科技提供防禦機制
https://blog.trendmicro.com.tw/?p=49627



勒索病毒其實超佛心!?求情後對方表示高估台灣收入並妥協解鎖 網友:「比某些客服好太多了吧!」
http://www.bc3ts.com/post/463



WanaCrypt0r Ransomware 緊急快問快答
http://hitcon-girls.blogspot.tw/2017/05/wanacrypt0r-ransomware.html



WannaCry替人作嫁,資安公司股價漲聲響起
http://www.ithome.com.tw/news/114177



20款主流防毒軟體協防 WanaCrypt0r ,你用的瀏覽器上榜了嗎
https://www.kocpc.com.tw/archives/146494



鄉民懷疑病毒客服高估台灣收入新聞是假的,寄信給客服求證沒想到客服回信了
https://www.wetalk.tw/thread-62425-1-1.html



勒索蠕蟲WannaCry肆虐,新北市刑警大隊受理2件公司報案
http://www.ithome.com.tw/news/114256



Akamai亞太區安全技術長:臺灣為何成為WannaCry重災區,使用者缺乏良好資安習慣惹禍
http://www.ithome.com.tw/news/114176



關鍵基礎設施、公務機關和學校最新「想哭」災情統計
http://www.ithome.com.tw/newstream/114173



臺電發言人證實,臺電有770臺行政用電腦遭WannaCry攻擊
http://www.ithome.com.tw/newstream/114164



不知怎麼付贖金,駭客攻擊 3 天只拿到 5 萬美元
https://technews.tw/2017/05/16/hacker-attack-with-bitcoin/



由台灣微軟舉辦的【抵禦惡意勒索病毒的侵襲】線上會議錄影與簡報
https://onedrive.live.com/?authkey=%21ALUMB7fl_d0upwA&id=A58ECF3AB7FB20C5%2111083&cid=A58ECF3AB7FB20C5



台灣電腦網路危機處理暨協調中心 TWCERT/CC 發布WanaCrypt0r (WanaCry) 勒索軟體行為分析報告
https://twcert-official-file.s3.hicloud.net.tw/TWCERTCC-MIFR-2017001.pdf



台灣學術網路危機處理中心 TACERT  預防Wanacrypt0r2勒索病毒攻擊的方法
http://cert.tanet.edu.tw/prog/opendoc.php?id=2017051609051616985766605539844.pdf



香港電腦保安事故協調中心 HKCERT 關於預防及緩解方法,請參閱小心 WannaCry 勒索軟件擴散。
https://www.hkcert.org/my_url/zh/blog/17051401



關於 WannaCry 勒索軟件攻擊的新聞發佈,請參閱電腦保安事故協調中心緊急呼籲 防範加密勒索軟件「WannaCry 」。
https://www.hkcert.org/my_url/zh/articles/17051301



關於 WannaCry 勒索軟件的技術資料,請參閱保安公告 SA17051301。
https://www.hkcert.org/my_url/zh/alert/17051301



中國國家互聯網應急中心 CNCERT/CC 關於重點防範Windows操作系統勒索軟件攻擊的情況公告
http://www.cert.org.cn/publish/main/10/2017/20170513151802657680842/20170513151802657680842_.html

駭客根本不知誰在付款!支付 WannaCry 勒索軟體贖金成效存疑
https://www.hkitblog.com/?p=39345




勒索軟體肆虐全球 收電郵別亂點連結
 http://ppt.cc/1iZ3N



 【不斷更新】史上最大勒索病毒 全球逾百國13萬電腦受害
 http://www.appledaily.com.tw/realtimenews/article/new/20170513/1117676/



 駭客勒索軟體全球肆虐 下載鍵千萬別亂點
 http://ppt.cc/NBlDm



 WanaCrypt0r 2.0 攻擊系統漏洞 台灣成全球第二大勒索病毒受災國家
    https://www.kocpc.com.tw/archives/146227



 網攻襲全球99國 傳鑽美國安局資料漏洞
 https://udn.com/news/story/6809/2460123



 小心一上網就被勒索 專家教如何預防
 http://www.cna.com.tw/news/ait/201705130036-1.aspx



 「勒索病毒」來襲! 專家5招教你如何防範
 http://news.ltn.com.tw/news/world/breakingnews/2066082



 小心一上網就被勒索 專家教如何預防
 http://news.tvbs.com.tw/tech/727036



 網攻來襲 傳俄國烏克蘭台灣成頭號目標
 http://www.cna.com.tw/news/ait/201705130054-1.aspx



 全球網路攻擊萬箭穿心 台灣成重災國
 http://www.cw.com.tw/article/article.action?id=5082507



 你也受害嗎?勒索軟體肆虐99國 索台幣9千元
    https://udn.com/news/story/6809/2460167



 勒索病毒入侵99國 台灣成「全球第2嚴重」受災區
 http://www.ettoday.net/news/20170513/923527.htm



 勒索軟體猖獗 台灣慘成大肥羊
 http://www.chinatimes.com/newspapers/20170513000123-260210



 [教學] 檢查與防止 WanaCrypt0r 2.0最新變種勒索病毒肆虐
 https://mrmad.com.tw/wanacrypt0r



 網攻襲全球 資安研究人員:蔓延速度快
 http://ppt.cc/hM3Cz



 讀懂「勒索病毒」 它沒有你想像中的可怕
 http://www.ettoday.net/news/20170513/923745.htm



 勒索軟體猛攻 英國歐陸資安雪上加霜
 http://www.cna.com.tw/news/ait/201705130179-1.aspx



 「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題
 https://blog.trendmicro.com.tw/?tag=wcry



 台灣基層醫院也曾遭勒索攻擊
 https://udn.com/news/story/11124/2460465



 每131封電郵就有一封包含惡意連結或附件
 http://www.chinatimes.com/realtimenews/20170512006474-260405



 連公司刷卡系統都中槍 勒索病毒「全面淪陷」
 http://www.appledaily.com.tw/realtimenews/article/new/20170513/1117739/



 勒索病毒攻擊來襲 360建議用NSA武器庫免疫工具防禦
 http://news.sina.com.tw/article/20170513/22134604.html



 國內多所院校電腦出現勒索軟體感染情況,漏洞修復工具已發布
 https://kknews.cc/tech/5a9n422.html



 Win7以上快更新! 微軟公司宣布「解毒3法」KO勒索病毒
 http://www.ettoday.net/news/20170513/923754.htm



 對抗勒索病毒!已終止支援3年…微軟破戒推出XP更新
 http://www.ettoday.net/news/20170514/923967.htm



    中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南
    http://ppt.cc/dCLXf



 Wannacry擴散急煞 歸功美專家發現殺着 英工程師意外一click
 http://ppt.cc/YawkF



 WannaCry 第二波來襲 ? 證實無 Kill-Switch 「完美」版本已面世
 https://unwire.hk/2017/05/14/wannacry/tech-secure/



 台高中生遭病毒勒索18000 刑事局教你怎麼做
 http://www.appledaily.com.tw/realtimenews/article/new/20170513/1118094/



 暫停「殺手鍵」失效!WannaCry 2.0 改良後強勢回歸
 https://www.inside.com.tw/2017/05/14/wannacry-2-0



 勒索病毒肆虐全球 三峽恩主公醫院慘中鏢
 http://news.ltn.com.tw/news/life/breakingnews/2067324



 勒索病毒肆虐,微軟批情報部門「囤積」漏洞
 https://hk.thenewslens.com/article/68323



 勒索病毒肆虐 台資誠:只重防火牆 輕忽漏洞修補
 http://www.epochtimes.com/b5/17/5/15/n9146247.htm



 十多國遭駭客網攻 傳用美國安局遭竊軟體做案
 http://ppt.cc/NoPDn



 多所大陸大學電腦遭入侵 駭客加密用中文勒索
 https://udn.com/news/story/7333/2460327



 多國遭駭客網攻「勒索」 研究員找到停止病毒擴散方法
 http://www.ntdtv.com/xtr/b5/2017/05/13/a1324574.html



 出手阻止勒索軟體擴散 22歲英國資安人成英雄
 https://udn.com/news/story/6809/2461631



 中石油確認受駭客攻擊 證監會促證券商檢查
 http://tw.on.cc/cn/bkn/cnt/news/20170514/bkncn-20170514154253333-0514_05011_001.html



 近百國遭駭客攻擊 中山大學南開大學等多所高校內網已經中招
 https://www.cnread.news/content/2741899.html



 全球勒索病毒累積贖金僅100萬 駭客還沒拿到錢
 https://udn.com/news/story/6811/2463138



 被駭機構漸復元 專家憂病毒更新後重襲
 https://udn.com/news/story/11124/2461967



 勒索病毒「史無前例」席捲全球 擴散速度放緩
 http://www.my-formosa.com/DOC_117372.htm



 曾遭駭客勒索 李家同:檔案存雲端沒損失
 https://money.udn.com/money/story/5641/2463769



 勒索病毒橫掃全球 李家同:政府用line是大笑話!
 http://news.ltn.com.tw/news/life/breakingnews/2068328



 勒索病毒肆虐 資策會:拔網路線堵漏洞
 http://m.cna.com.tw/news/ait/201705150355.aspx



 有了勒索軟體,零技能也能當駭客
 https://cn.nytstyle.com/technology/20170515/hack-ransomware-scam-cyberattacks/zh-hant/



 勒索病毒程式碼 背後主謀與朝鮮駭客相似
    http://ppt.cc/lcw4Z

 迪士尼疑中「WannaCry」 駭客威脅公開魔盜王新片
 http://hd.stheadline.com/news/realtime/wo/904620/



 駭客根本不知誰在付款!支付 WannaCry 勒索軟體贖金成效存疑
 http://ppt.cc/rDr17

    決戰 WanaCrypt0r!中國網友拿 19 款防毒軟體練兵:斷網、不更新病毒碼,哪些防毒軟體主動防禦成功
    http://technews.tw/2017/05/16/19-antivirus-vs-wanacrypt0r/



 WannaCry勒索軟體肆虐 企業宜採措施防範威脅
 https://www.ctimes.com.tw/DispNews-tw.asp?O=HK15FAPH0WGSAA00NT

 WannaCry疑源於NSA庫存 促訂數碼公約規範 微軟斥美藏網絡軍備知情不報
 https://news.mingpao.com/pns/dailynews/web_tc/article/20170516/s00014/1494871699158



 WannaCry病毒:細剖事件尋蹊蹺 匡恩網路探真知
 http://iview.sina.com.tw/post/12460454



    老舊 Windows XP 容易遭受攻擊,國內中小企業仍不敢輕易升級版本
 http://technews.tw/2017/05/16/windows-xp-2/



 印證資安爆發年 勒索軟體大爆發
 http://www.chinatimes.com/realtimenews/20170516002270-260405



 隔離內網不能高枕無憂——勒索病毒傳播帶來的安全警示
 http://news.sina.com.tw/article/20170516/22176306.html



 全球互聯網遭勒索,企業安全意識薄弱
 http://news.sina.com.tw/article/20170516/22172928.html



 泄露WannaCry漏洞組織威脅稱將公佈更多惡意代碼
 http://news.sina.com.tw/article/20170517/22196192.html



 黑客組織威脅要放出更多漏洞 Windows 10也跑不了
 http://www.readhouse.net/articles/310930656/



 勒索病毒橫行 越南1900台電腦中標
 https://udn.com/news/story/11124/2467548



 勒索病毒疑似變種?「想哭」變成「想妹妹」
 http://www.ntdtv.com/xtr/b5/2017/05/17/a1324956.html



 「想哭」病毒只是小菜一碟?駭客組織:六月釋出更多軍火級網路武器
 https://www.inside.com.tw/2017/05/17/shadow-brokers-threaten-to-release-more-hacking-tools-in-june

 不只勒索軟體搶錢 這病毒早偷撈3千多萬
 http://www.cna.com.tw/news/ait/201705170215-1.aspx



 勒索病毒讓電腦、防毒軟體買氣大增 網購Win 10賣光了
 http://www.ettoday.net/news/20170516/925645.htm

    全世界被勒索 資安員發現解藥
 http://www.chinatimes.com/newspapers/20170514000596-260301



 面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼
 https://blog.trendmicro.com.tw/?cat=3220



 勒索軟體襲全球 贖金10億美元
 http://www.chinatimes.com/newspapers/20170514000047-260202



 WanaCrypt0r Ransomware 緊急快問快答
 http://www.runpc.com.tw/content/content.aspx?id=109916



 勒索病毒攻擊/沒買資安險 企業虧大了
 https://money.udn.com/money/story/5648/2464950



 勒索病毒全台5起案件 新北桃園高雄皆傳災情
 http://www.nownews.com/n/2017/05/15/2523888



 感染逾17萬台電腦 勒索病毒攻勢暫歇
    http://www.appledaily.com.tw/realtimenews/article/new/20170514/1118170/



 想哭肆虐!台灣重災?台電770台電腦中招
 http://news.tvbs.com.tw/life/727505



 資安專家分析 想哭病毒針對4種使用者
 http://m.match.net.tw/pc/news/finance/20170516/4069888



 勒索病毒突襲 資策會:XP到Win8最危險
 http://www.cna.com.tw/news/afe/201705150338-1.aspx



 勒索病毒防護4撇步 打這支電話有保庇
 https://udn.com/news/story/11124/2466557



 全台機關學校 已209台電腦遭勒索病毒攻擊
 http://news.ltn.com.tw/news/life/breakingnews/2069548



 勒贖肆虐亞洲 美基礎設施也遭殃
 https://udn.com/news/story/11124/2465956



 缺乏資安觀念 台灣成勒索病毒重災區
 http://ppt.cc/dOljN



 專家指受害者可與駭客聯絡 但最好還是要更新作業系統
 http://ppt.cc/hyVKt



 勒索病毒全球肆虐! 各國追查背後藏鏡駭客
 http://news.ebc.net.tw/news.php?nid=63236



 更新防毒軟體定期備份 教會也要小心
    https://www.ct.org.tw/1306953



 < WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單
 https://blog.trendmicro.com.tw/?tag=%E6%BC%8F%E6%B4%9E%E6%9B%B4%E6%96%B0



 賽門鐵克、卡巴斯基發現證據 WannaCry可能源自於北韓
 http://www.ettoday.net/news/20170517/925750.htm



 勒索病毒時間序整理,全球網友同步大吐槽
 http://ccc.technews.tw/2017/05/17/wannacry-on-reddit/



 勒索病毒坑了Windows!這一幕蘋果笑而不語
 http://news.sina.com.tw/article/20170516/22186052.html



 Wannacry勒索到“黑客界蒙羞”的太少比特幣 Adylkuzz鎖定門羅幣作案更鬼祟
 http://ppt.cc/FbcQ2



 國家計算機病毒中心監測發現勒索病毒新變種
 http://news.xinhuanet.com/tech/2017-05/17/c_1120990495.htm



 想哭危機 資安長皮繃緊
 http://www.chinatimes.com/newspapers/20170518000093-260203



 IBM Security如何看待肆虐全球關鍵基礎架構的勒索病毒“Wanna
Cry2”
 http://www.runpc.com.tw/content/content.aspx?id=109923



 勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫
 https://news.xfastest.com/%E5%85%B6%E4%BB%96/34411/ransomware-wannacry-and-hackers-against-each-others/



 資安工程師警告:Win8、Win10是WannaCry網路蠕蟲下波攻擊對象
 https://newtalk.tw/news/view/2017-05-18/86999



 WannaCry:新瓶裝老酒
 http://www.runpc.com.tw/content/content.aspx?id=109925



 Check Point事件回應團隊追蹤 WannaCryptor勒索軟體全球肆虐活動狀況
 http://www.runpc.com.tw/content/content.aspx?id=109924






安全威脅百科全書 RANSOM_WANA.A
http://about-threats.trendmicro.com/Malware.aspx?language=tw&name=RANSOM_WANA.A








英文參考資料



wanadecrypt
https://github.com/gentilkiwi/wanadecrypt/releases



WanaCryptor File Encryption and Decryption
https://modexp.wordpress.com/2017/05/15/wanacryptor/



Demonstration of WannaCry Ransomware Infection (non-tech)
https://youtu.be/K8DJCqSPmdI



'Accidental hero' halts ransomware attack and warns: this is not over
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack?CMP=share_btn_fb



Comodo Firewall 10 vs WannaCry Ransomware
https://malwaretips.com/threads/comodo-firewall-10-vs-wannacry-ransomware.71403/



Massive ransomware attack hits 99 countries
http://myfox8.com/2017/05/12/massive-ransomware-attack-hits-99-countries/



What about WannaCry 2.0? Improvements of the ransomware code would have unpredictable
http://securityaffairs.co/wordpress/59087/breaking-news/wannacry-improvements.html



WikiLeaks Reveals 'AfterMidnight' & 'Assassin' CIA Windows Malware Frameworks
http://thehackernews.com/2017/05/windows-malware-framework.html



Customer Guidance for WannaCrypt attacks
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/



WannaCry New Variants Detected
https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e



Hunt for Hackers Behind Global Cyberattack Begins
https://latesthackingnews.com/2017/05/14/hunt-hackers-behind-global-cyberattack-begins/



Purdue grad stops worldwide cyberextortion scheme
http://ppt.cc/D2a4I



WannaCry The largest ransom-ware infection in History
https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58



[Bobao360 Report] WanaCrypt0r blackmail worm complete analysis report
http://ppt.cc/e01BW



It's Not Over Yet, #WannaCry 2.0 Ransomware has Just Arrived With No 'Kill-Switch'
WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives

WannaCry Ransomware Scanner and Vaccine Toolkit
https://blog.trustlook.com/2017/05/14/wannacry-ransomware-scanner-and-vaccine-toolkit/



WannaCry 掃描儀
https://github.com/apkjet/TrustlookWannaCryToolkit/tree/master/scanner



WannaCry Ransomware 免疫工具
https://github.com/apkjet/TrustlookWannaCryToolkit/tree/master/vaccine



Beware of WannaCry Ransomware Spreading
https://www.hkcert.org/my_url/en/blog/17051401



VirusTotal:
https://www.virustotal.com/en/domain/iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/information/



Wanna Cry: How to Protect Yourself from Ransomware
https://www.purevpn.com/blog/how-to-protect-from-ransomware/



How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
http://ppt.cc/DgcCk



US-CERT Alert (TA17-132A) Indicators Associated With WannaCry Ransomware
https://www.us-cert.gov/ncas/alerts/TA17-132A



It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'
http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html



Massive WannaCry/Wcry Ransomware Attack Hits Various Countries
http://ppt.cc/Bb0IN



Trend Micro RANSOM_WANA.A
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Ransom_Wana.A



McAfee Protecting against Ransom-WannaCry (May 2017)
http://ppt.cc/05ZtA



Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows (XP, Vista, 8,...)
http://thehackernews.com/2017/05/wannacry-ransomware-windows.html



Wcrypt tracker -  WannaCrypt stats page now live(Online 1,181)
https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all



WanaCrypt0r 2.0 Ransomeware Sample
http://ppt.cc/XKXQL



WannaCry, WNCry, WanaCrypt0r, Wana Decrypt0r Ransomware Help & Support Topic
http://ppt.cc/ckVrt



Global WannaCry ransomware outbreak uses known NSA exploits
http://blog.emsisoft.com/2017/05/12/wcry-ransomware-outbreak/



花 8.29 英鎊拯救世界,WannaCrypt 勒索病毒中場休息
http://blog.darkthread.net/post-2017-05-14-reg-domainname-stop-wannacrypt.aspx



Ongoing WannaCry Ransomware Spreading Through SMB Vulnerability
https://www.alienvault.com/blogs/labs-research/ongoing-wannacry-ransomware-spreading-through-smb-vulnerability



WannaCry Indicators
https://otx.alienvault.com/pulse/5915db384da2585b4feaf2f6/



Cybereason RansomFree Detects and Stops WannaCry Ransomware
https://www.cybereason.com/cybereason-ransomfree-detects-and-stops-wannacry-ransomware/



WannaCry no more: ransomware worm IOC's, Tor C2 and technical analysis + SIEM rules
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi



How to protect from wcrypt (Wanna Cry)? [on hold]
http://stackoverflow.com/questions/43952057/how-to-protect-from-wcrypt-wanna-cry



An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak
https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#58fad169e599



How to Rapidly Identify Assets at Risk to WannaCry Ransomware and ETERNALBLUE Exploit
https://blog.qualys.com/securitylabs/2017/05/12/how-to-rapidly-identify-assets-at-risk-to-wannacry-ransomware-and-eternalblue-exploit



Technical attack analysis with IOCs here
https://socprime.com/en/blog/wannacry-no-more-ransomware-worm-iocs-tor-c2-and-technical-analysis-siem-rules/



Reverse engineering of the malware sample by Faisal Abdul Malik Qureshi is here
http://malwarenailed.blogspot.com/2017/05/wanna-cry-quick-analysis.html



Quickpost: WannaCry’s Mutex Is MsWinZonesCacheCounterMutexA0 (Digit Zero At The End)
https://blog.didierstevens.com/2017/05/14/quickpost-wannacrys-mutex-is-mswinzonescachecountermutexa0-digit-zero-at-the-end/



Cylance vs. WannaCry-WanaCrypt0r 2.0
https://www.cylance.com/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html



bitdust/WamaCry github
https://github.com/bitdust/WamaCry

22-year-old who halted global cyber-attack: 'I'm no hero' – video
https://www.theguardian.com/technology/video/2017/may/16/marcus-hutchins-man-who-halted-global-cyber-attack-im-no-hero-video?CMP=twt_a-technology_b-gdntech



The research team at AV-TEST has identified 452 samples related to the #WannaCrypt #ransomware so far. You can find a list of SHA256 hashes below
https://plus.google.com/+avtestorg/posts/AwZPe1EtWNy



PayBreak able to defeat WannaCry/WannaCryptor ransomware
https://www.benthamsgaze.org/2017/05/16/paybreak-able-to-defeat-wannacrywannacryptor-ransomware/



Ransomware Potential Link to North Korea
http://www.intezer.com/wp-content/uploads/2017/05/Intezer_WannaCry.pdf



WannaCry Ransomware – What We Know, and What You Can Do
https://www.lastline.com/blog/wannacry-ransomware/



Further Analysis of WannaCry Ransomware
https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/?utm_content=sf78926989&utm_source=linkedin&utm_campaign=Enterprise#sf78926989



Microsoft issues first Windows XP patch in 3 years to stymie 'WannaCrypt'
http://www.cio.com/article/3196667/desktop-computers/microsoft-issues-first-windows-xp-patch-in-3-years-to-stymie-wannacrypt.html



The number of victims would rise on Monday when a large number of users will be back at work, then how to protect your systems from the WannaCry ransomware.
http://securityaffairs.co/wordpress/59109/malware/wannacry-ransomware-countermeasures.html



Ransomware decrypts Taiwanese netizen's computer due to his low income
http://www.taiwannews.com.tw/en/news/3161826



TrendMicro (2017/05/13)
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Ransom_Wana.A



Malwarebytes(2017/05/13)
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/



Microsoft(2017/03/01)
http://ppt.cc/TUPS0



Microsoft(2017/05/14)
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/



piyolog(2017/05/13)
http://d.hatena.ne.jp/Kango/20170513/1494700355



peerlyst(2017/05/14)
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi



GitHub(2017/04/27)
https://github.com/countercept/doublepulsar-detection-script



iThome(2017/05/14)
http://www.ithome.com.tw/news/114147



MalwareTech(2017/05/13)
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Nmap NSE script to detect MS17-010 vuln used by WannaCry
https://securityonline.info/nmap-nse-script-detect-cve-2017-0143-vuln-used-wannacry/




Preventing WannaCry (WCRY) ransomware attacks using Trend Micro products
 https://success.trendmicro.com/solution/1117391-updates-on-the-latest-wcry-wannacry-ransomware-attack-and-trend-micro-protection

沒有留言:

張貼留言

資安事件新聞週報 2021/9/6 ~ 2021/9/10

  資安事件新聞週報 2021/9/6  ~  2021/9/10 1.重大弱點漏洞/後門/Exploit/Zero Day Cisco 發布Enterprise NFV Infrastructure Software(NFVIS)軟體安全更新 https://us-cert.c...