摘 要:【WanaCrypt0r 2.0 弱點情報】
根據情報通知,WanaCrypt0r 勒索軟體(Wanna Decryptor, WanaCrypt0r 2.0, WanaCrypt, WCRY)正在全球擴散攻擊中,
除應用CVE-2017-0143~0148的SMB遠端連線攻擊方式,
更會主動式的搜索內部目前尚未完成更新之windows主機,
影響範圍從windows XP 至目前windwos 8 (未完成SMBv1~v3 遠端連線關閉)之主機。
攻擊時間從上週五(2017/5/12)至今攻擊已超過10萬次仍未停歇,
目前已知已有104國家的主機已經受害,
英國地區已有NHS(National Health Service)仍有9成以上的電腦仍使用windows XP,
美國的FedEx已被攻擊成功,中國大陸的ATM主機也被攻擊成功,
台灣地區更是超過3萬台以上的設備目前仍具有高度威脅可被攻擊成功。
目前已知全球已被攻擊主機數量超過23萬台(intel.malwaretech.com),
目前仍有9萬多台仍持續擴散感染中,另外來自FBI的白皮書內容,已開始針對重要Tor主機與IP進行嚴密監控作業。
這套名為「想哭」(WannaCry)的勒索軟體利用微軟旗下Windows作業系統的弱點,乘虛而入。
微軟3月已發佈補救措施,但若沒有即時更新電腦,檔案就可能遭勒索綁架。
資安公司Avast表示,已追蹤到遍佈99國的超過7萬5000起網路攻擊事件,
且主要的攻擊聚焦在台灣、烏克蘭和俄羅斯。
在本次攻擊中,勒索軟體將鎖住中標電腦中的全部檔案,並要求機主付錢,才能拿回電腦控制權。
WanaCrypt0r 2.0 透過系統漏洞攻擊
在 5 月 12 日晚間,臉書與PTT突然傳出許多勒索病毒的災情,其特色是:
1.不知道為何中毒,沒有去奇怪的網站
2.檔案的副檔名被更改為 .wncry
3.受災戶大多坐落在 Win 7 的使用者
4.中毒提示視窗為紅色邊框,有多國語言版本可以選擇
透過中毒提示視窗,我們可以得知這款病毒名為「WanaCrypt0r 2.0」,
其索取金額高達 300 美金,透過內容訊息可以得知,
勒索病毒作者要求在三天內付款,三天一到就是翻倍贖金,而如果一到七天,檔案就會永久無法刪除。
卡巴斯基實驗室(Kaspersky Lab)專家鮑加納(Kurt Baumgartner)告訴CNN:
「電腦中毒後,使用者有6小時時間支付贖金,每過幾小時贖金會愈來愈高。
大部分在一開始幾小時就付錢的使用者,似乎會支付高達300美元(約9000台幣)的贖金。」
【影響範圍】Windows 作業系統
【測試方式】
根據HiNet SOC情報人員分析,目前已有下列方式可測試目前是否具有高度受害之可能性:
確認windows 版本之SMB是否開啟與相關windows update 是否已經完成patch 修正,
點選WindowsUpdate的檢視更新紀錄,檢查有無對應KB編號。各版本修正檔案如下:
Windows 7, Server 2008 R2 KB4012215
Windows Server 2008 KB4012598
Windows Server 2012 R2 KB4012216
Windows Server 2012 KB4012217
Windows Server 2016 KB4013429
Windows Vista KB4012598
Windows 8.1 KB4012216
Windows 2003 KB4012598
Windows XP KB4012598
透過工具程式進行確認,
於Github:
https://github.com/countercept/doublepulsar-detection-script ,
可進行單一電腦或內網電腦掃描,
用戶須先安裝python程式進行測試,
輸入以下命令:python doublepulsar_smb.py —ip xxx.xxx.xxx.xxx,
如測試結果為No presence of DOUBLEPULSAR SMB implant,
代表無SMB弱點可被攻擊。
3. 根據HiNet SOC情報搜集,目前有大量可疑IP與DN進行攻擊,
用戶可自行評估是否需進行阻擋,
或透過防火牆設備關閉port 137,139,445外部連線功能,
IP與DN清單如下:
96.127.190.2 www.43bwabxrduicndiocpo.net
184.154.48.172 www.dyc5m6xx36kxj.net
108.163.228.172 www.gurj5i6cvyi.net
200.58.103.166 www.bcbnprjwry2.net
216.145.112.183 www.sxdcmua5ae7saa2.net
162.220.58.39 www.rbacrbyq2czpwnl5.net
192.237.153.208 www.fa3e7yyp7slwb2.com
75.126.5.21 www.wwld4ztvwurz4.com
128.31.0.39 www.bqkv73uv72t.com
144.76.92.176 www.xanznp2kq.com
148.244.38.101 www.chy4j2eqieccuk.com
149.202.160.69 www.lkry2vwbd.com
163.172.149.155 www.ju2ymymh4zlsk.com
171.25.193.9 www.graficagbin.com.br
195.22.26.248 www.sdhjjekfp4k.com
197.231.221.221 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
198.96.155.3
123.61.66.117
46.101.142.174
46.101.166.19
62.210.124.124
91.121.65.179
91.219.237.229
目前已有防火牆廠商,IPS廠商已提供防範Pattern阻擋此類攻擊發生,
HiNet SOC以整理如下,敬請用戶自行檢查是否已更新到最新版本:
Palo alto
Name: Microsoft Windows SMB Remote Code Execution Vulnerability
Unique id:32424,32494,32427,32393,32716,32422
checkpoint
Microsoft Windows EternalBlue SMB Remote Code Execution
sourcefire
Snort Rule: 42329-42332, 42340, 41978
Trendmicro Trend Micro Deep Security and Vulnerability Protection
IPS Rules 1008224, 1008228, 1008225, 1008227
Trend Micro TippingPoint
Filters 5614, 27433, 27711, 27935, 27928
Forint
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
Emerging Threats
alert smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)
mcafee
NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability
NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability
NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability
NETBIOS-SS: Windows SMBv1 information disclosure vulnerability
【WanaCrypt0r 2.0 弱點情報】
根據情報通知,WanaCrypt0r 勒索軟體(Wanna Decryptor, WanaCrypt0r 2.0, WanaCrypt, WCRY)正在全球擴散攻擊中,
除應用CVE-2017-0143~0148的SMB遠端連線攻擊方式,
更會主動式的搜索內部目前尚未完成更新之windows主機,
影響範圍從windows XP 至目前windwos 8 (未完成SMBv1~v3 遠端連線關閉)之主機。
攻擊時間從上週五(2017/5/12)至今攻擊已超過10萬次仍未停歇,
目前已知已有104國家的主機已經受害,
英國地區已有NHS(National Health Service)仍有9成以上的電腦仍使用windows XP,
美國的FedEx已被攻擊成功,中國大陸的ATM主機也被攻擊成功,
台灣地區更是超過3萬台以上的設備目前仍具有高度威脅可被攻擊成功。
目前已知全球已被攻擊主機數量超過23萬台(intel.malwaretech.com),
目前仍有9萬多台仍持續擴散感染中,另外來自FBI的白皮書內容,
已開始針對重要Tor主機與IP進行嚴密監控作業。
防護措施及建議:
- 首先最重要的是此波攻擊是針對已知的微軟安全性弱點,請透過 GPO 或是微軟官方的說明停用 SMB http://ppt.cc/DgcCk
- 先將網路停用外部連線功能, 管理者至windows AD派送以上之KB修補程式至所有主機進行更新作業。
- 強烈建議您為作業系統安裝最新的修補程式,尤其是跟安全性弱點 MS17-010 相關的安全性修補程式。
- 確認防毒程式,防火牆,IPS等已更新至最新版本病毒碼與偵測程式碼,請參考以上內容。
- 建議您根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。
- 無中勒索病毒之電腦主機,即刻將重要資料備份,備份資料離線保管。
- 被感染的電腦,會產生TOR封包而且有TCP 443,TCP 9001...等等的TOR封包對外,至於TCP 445的封包,並沒有特別異常
- 此病毒會先跑檔案加密,但是卻不一定會擴散感染、設定電腦重新開機
- 此病毒加密的時候會做大量寫入,CPU用量沒有增加
- 網路封包量沒有特別變化 特別是SMB的TCP-445與TCP-139,也沒有暴增的UDP-135,136,137,138
- 勒索畫面出現時 事實上 惡意軟體 是 在背景對檔案加密 基本上 如果 馬上 刻停止執行 惡意軟體 應該 來得及救檔案 最好 馬上就關機
- 建議可以觀察 TCP 443 屬於 TOR封包 就可以大概知道
- WanaCrypto 防火牆 設置 相關建議 最好擋下 對內對外 TCP 445 跟 138 139 還有 內對外 TCP 9001 9002 9988 斷了他的通訊線 讓她只剩下 TCP 443
趨勢產品作法參考:
趨勢科技於今年四月中首次監測到勒索病毒(RANSOM_WCRY.C),最初它透過網路釣魚攻擊誘使使用者從Dropbox網址下載惡意程式;而在這個週末,趨勢科技發現這個肆虐全球的勒索病毒「WannaCry/Wcry」已進化為結合了Windows Server Message Block (SMB)伺服器漏洞EternalBlue(亦被稱為CVE-2017-0144和MS17-10)與新勒索病毒家族(RANSOM_WCRY.I / RANSOM_WCRY.A)的新變種
設定更新與下一代技術:
趨勢科技客戶使用最新版本 OfficeScan 與 WorryFree Business Security
請確保已啟用「預測性機器學習」功能(OfficeScan XG 版本、Worry-Free Services、CloudEgde)
以及所有與勒索病毒相關的防護功能。
相關設定資訊請參考此則 KB 文章https://success.trendmicro.com/solution/1112223
病毒碼:
趨勢科技已可偵測已知的病毒變種及元件,請確認您已更新病毒碼至下列版本:
雲端病毒碼- 13.399.00
傳統掃瞄病毒碼- 13.401.00
趨勢科技網頁信譽評等服務(Web Reputation Services,WRS)
已加入已知的命令控制伺服器(Command and Control servers,C&C)。
趨勢科技 Cloud Edge 客戶請確認更新並套用以下規則
IPS Rules 1133635, 1133636, 1133637, 1133638 SMB Microsoft MS17-010 SMB Remote Code Execution。
趨勢科技 Deep Security 與 Vulnerability Protection已釋出了防堵此漏洞的規則更新。
建議客戶儘快下載並套用至最新的規則更新
IPS Rules 1008224, 1008228, 1008225, 1008227 Includes coverage for
MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
趨勢科技 Deep Discovery Inspector客戶請確認已更新以下規則並監控是否偵測C&C連線
DDI Rule 2383:CVE-2017-0144 Remote Code Execution SMB (Request)
趨勢科技 TippingPoint客戶請確認已更新以下規則
Filters 5614, 27433, 27711, 27935, 27928 Includes coverage for
MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
and attacks
ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation
非趨勢科技企業客戶
除了建議您修補Microsoft漏洞之外,趨勢科技現提供非OfficeScan、Worry Free使用者的企業免費風險評估工具此工具採用最新機器學習技術,企業可申請使用
Trend Micro™ Machine Learning Assessment Tool
http://visit.trendmicro.com/Y0X2U1YQg00xa053WXC0aDR
WCry ransomware hidden C2 hosts (Tor onion address)
http://gx7ekbenv2riucmf.onion
http://57g7spgrzlojinas.onion
http://xxlvbrloxvriy2c5.onion
http://76jdd2ir2embyv47.onion
http://cwwnhwhlz52maqm7.onion
微軟:
●Windows Server 2003 SP2 x64 :
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
●Windows Server 2003 SP2 x86 :
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
●Windows XP SP2 x64 :
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
●Windows XP SP3 x86 :
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
●Windows XP Embedded SP3 x86 :
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe
●Windows 8 x86 :
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
●Windows 8 x64 :
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
備註:目前相關連結皆有極大量人數連線中,可能導致連結速度緩慢。
另其他作業系統的修補程式可從下列連結取得修補程式
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
●Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016 請參考以下連結,更新至微軟發佈的MS17-010即可
https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx
政府:
因應勒索病毒 政院:部會電腦更新至最新狀態
http://news.ltn.com.tw/news/politics/breakingnews/2067076
在勒索病毒肆虐時上班第一天要做什麼
http://ppt.cc/w5mvE
其他參考資料:
中文參考資料
如何躲過WannaCry勒索蠕蟲風暴?週一上班先不要開電腦,照著這些方法做
http://www.ithome.com.tw/news/114148
WanaCrypt0r 2.0 解毒 、資料救援與如何預防 全攻略
https://www.kocpc.com.tw/archives/146366
勒索病毒攻擊恩主公醫院 醫療推車電腦中鏢
http://www.appledaily.com.tw/realtimenews/article/new/20170514/1118432/
MS17-010漏洞檢測與內網穿透技術的應用
http://fuping.site/2017/04/21/MS17-010-Vulnerability-Detection-And-Ngrok/
Windows 10 逃不過 WannaCry 勒索病毒!你的自動更新啟用了嗎
https://www.soft4fun.net/tech/news/wannacry-windows-10-2016-affected.htm
這次的勒索軟件沒加殼,有人用od 直接跳轉讓它解密了
https://mobile.twitter.com/shellexy/status/863331007260262400
微軟 WINDOWS 201705 綁架病毒解決方案:更新作業系統
https://news.xfastest.com/microsoft/34301/windows-201705-ransomware-solution-is-to-update-windows-os/
預防勒索病毒,五大絕招! 史上第一勒索蠕蟲WannaCry/Wcry大舉入侵,全球氾濫!趨勢科技教你拒當資安人質
https://blog.trendmicro.com.tw/?p=49682
決戰WanaCrypt0r!中國網友拿19款防毒軟體練兵:斷網、不更新病毒碼,哪些防毒軟體主動防禦成功?
http://ppt.cc/PQyl7
因應WannaCrypt攻擊,微軟官方公布Windows Server 2003及XP修復程式
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
WanaCrypt0r 2.0 手動防止和偵測法
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html?m=1
勒索軟體WanaCrypt0r 2.0攻擊全球 Windows 系統漏洞
http://technews.tw/2017/05/13/ransomeware-wanacrypt0r-2/
XP也有救!WanaCry 2.0勒索軟體肆虐,微軟破例再釋Windows XP修補
http://www.ithome.com.tw/news/114145
WanaCry 2.0勒索軟體狠襲全球,上百個國家受駭,台灣也是重災區
http://www.ithome.com.tw/news/114144
微軟譴責美國政府監控政策引發WannaCry災情!
http://www.ithome.com.tw/news/114157
為協助抵禦大規模惡意勒索病毒的侵襲,請用戶立即安裝微軟於三月釋出的安全性更新MS17-010
https://news.microsoft.com/zh-tw/windowsdefender/#sm.0000535813159xdpuvym8a1p5ik3g
WanaCrypt0r 2.0 勒索病毒放大絕,更新預防與檢測方式,台灣目前為主要攻擊國家
https://ez3c.tw/5598
近期勒索軟體WannaCry活動頻繁,請立即更新作業系統與防毒軟體,並注意平時資料備份作業
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1060
【警訊 】解析WannaCry/Wcry “想哭”勒索病毒,感染流程與預防方法
https://blog.trendmicro.com.tw/?p=49644
[病毒警訊] WannaCry/Wcry 勒索病毒入侵,全球氾濫!趨勢科技提供防禦機制
https://blog.trendmicro.com.tw/?p=49627
WannaCry (WannaCrypt) 加密勒索軟件加密受害者數據
https://www.hkcert.org/my_url/zh/alert/17051301
Wanna Decrytor / WannaCry / Wcry 勒索病毒影響全球 : Windows 香港受害者上升中 (附:預防 刪除 方法)
https://unwire.hk/2017/05/13/wannacry-wcry/top-news/#!prettyPhoto
WannaCry蠕蟲詳細分析
http://www.freebuf.com/articles/system/134578.html
緊急通知:多所大學中勒索病毒:防範勒索病毒的緊急通知
http://mp.weixin.qq.com/s/rxaRQH0KlxLTdnRxv0fl9g
UBLINK技術討論區 YC_Chiang 提供 勒索病毒檔案監控防護程式
http://ns2.ublink.org/viewtopic.php?f=27&t=5949&sid=2fe86528186c0a3fcb8a302a79449f3b
WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法
http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html?m=1
全球網路攻擊萬箭穿心 台灣成重災國
http://ppt.cc/o1vxg
[病毒警訊]RANSOM_WANA.A 勒索病毒入侵,全球氾濫!趨勢科技提供防禦機制
https://blog.trendmicro.com.tw/?p=49627
WanaCrypt0r 2.0 攻擊系統漏洞 台灣成全球第二大勒索病毒受災國家
https://www.kocpc.com.tw/archives/146227
WannaCry勒索病毒發作中 可以有效清除嗎
http://ppt.cc/OMHgl
[技術原創] WanaCrypt0r勒索病毒:19款殺軟主防測試
http://bbs.kafan.cn/thread-2089134-1-1.html
WanaCrypt0r 2.0 大規模攻擊漏洞系統相關資訊整理與現階段預防方式(2017.05.14更新)
http://ppt.cc/Cc41G
WannaCry/Wcry 勒索病毒入侵,全球氾濫!趨勢科技提供防禦機制
https://blog.trendmicro.com.tw/?p=49627
勒索病毒其實超佛心!?求情後對方表示高估台灣收入並妥協解鎖 網友:「比某些客服好太多了吧!」
http://www.bc3ts.com/post/463
WanaCrypt0r Ransomware 緊急快問快答
http://hitcon-girls.blogspot.tw/2017/05/wanacrypt0r-ransomware.html
WannaCry替人作嫁,資安公司股價漲聲響起
http://www.ithome.com.tw/news/114177
20款主流防毒軟體協防 WanaCrypt0r ,你用的瀏覽器上榜了嗎
https://www.kocpc.com.tw/archives/146494
鄉民懷疑病毒客服高估台灣收入新聞是假的,寄信給客服求證沒想到客服回信了
https://www.wetalk.tw/thread-62425-1-1.html
勒索蠕蟲WannaCry肆虐,新北市刑警大隊受理2件公司報案
http://www.ithome.com.tw/news/114256
Akamai亞太區安全技術長:臺灣為何成為WannaCry重災區,使用者缺乏良好資安習慣惹禍
http://www.ithome.com.tw/news/114176
關鍵基礎設施、公務機關和學校最新「想哭」災情統計
http://www.ithome.com.tw/newstream/114173
臺電發言人證實,臺電有770臺行政用電腦遭WannaCry攻擊
http://www.ithome.com.tw/newstream/114164
不知怎麼付贖金,駭客攻擊 3 天只拿到 5 萬美元
https://technews.tw/2017/05/16/hacker-attack-with-bitcoin/
由台灣微軟舉辦的【抵禦惡意勒索病毒的侵襲】線上會議錄影與簡報
https://onedrive.live.com/?authkey=%21ALUMB7fl_d0upwA&id=A58ECF3AB7FB20C5%2111083&cid=A58ECF3AB7FB20C5
台灣電腦網路危機處理暨協調中心 TWCERT/CC 發布WanaCrypt0r (WanaCry) 勒索軟體行為分析報告
https://twcert-official-file.s3.hicloud.net.tw/TWCERTCC-MIFR-2017001.pdf
台灣學術網路危機處理中心 TACERT 預防Wanacrypt0r2勒索病毒攻擊的方法
http://cert.tanet.edu.tw/prog/opendoc.php?id=2017051609051616985766605539844.pdf
香港電腦保安事故協調中心 HKCERT 關於預防及緩解方法,請參閱小心 WannaCry 勒索軟件擴散。
https://www.hkcert.org/my_url/zh/blog/17051401
關於 WannaCry 勒索軟件攻擊的新聞發佈,請參閱電腦保安事故協調中心緊急呼籲 防範加密勒索軟件「WannaCry 」。
https://www.hkcert.org/my_url/zh/articles/17051301
關於 WannaCry 勒索軟件的技術資料,請參閱保安公告 SA17051301。
https://www.hkcert.org/my_url/zh/alert/17051301
中國國家互聯網應急中心 CNCERT/CC 關於重點防範Windows操作系統勒索軟件攻擊的情況公告
http://www.cert.org.cn/publish/main/10/2017/20170513151802657680842/20170513151802657680842_.html
駭客根本不知誰在付款!支付 WannaCry 勒索軟體贖金成效存疑
https://www.hkitblog.com/?p=39345
勒索軟體肆虐全球 收電郵別亂點連結
http://ppt.cc/1iZ3N
【不斷更新】史上最大勒索病毒 全球逾百國13萬電腦受害
http://www.appledaily.com.tw/realtimenews/article/new/20170513/1117676/
駭客勒索軟體全球肆虐 下載鍵千萬別亂點
http://ppt.cc/NBlDm
WanaCrypt0r 2.0 攻擊系統漏洞 台灣成全球第二大勒索病毒受災國家
https://www.kocpc.com.tw/archives/146227
網攻襲全球99國 傳鑽美國安局資料漏洞
https://udn.com/news/story/6809/2460123
小心一上網就被勒索 專家教如何預防
http://www.cna.com.tw/news/ait/201705130036-1.aspx
「勒索病毒」來襲! 專家5招教你如何防範
http://news.ltn.com.tw/news/world/breakingnews/2066082
小心一上網就被勒索 專家教如何預防
http://news.tvbs.com.tw/tech/727036
網攻來襲 傳俄國烏克蘭台灣成頭號目標
http://www.cna.com.tw/news/ait/201705130054-1.aspx
全球網路攻擊萬箭穿心 台灣成重災國
http://www.cw.com.tw/article/article.action?id=5082507
你也受害嗎?勒索軟體肆虐99國 索台幣9千元
https://udn.com/news/story/6809/2460167
勒索病毒入侵99國 台灣成「全球第2嚴重」受災區
http://www.ettoday.net/news/20170513/923527.htm
勒索軟體猖獗 台灣慘成大肥羊
http://www.chinatimes.com/newspapers/20170513000123-260210
[教學] 檢查與防止 WanaCrypt0r 2.0最新變種勒索病毒肆虐
https://mrmad.com.tw/wanacrypt0r
網攻襲全球 資安研究人員:蔓延速度快
http://ppt.cc/hM3Cz
讀懂「勒索病毒」 它沒有你想像中的可怕
http://www.ettoday.net/news/20170513/923745.htm
勒索軟體猛攻 英國歐陸資安雪上加霜
http://www.cna.com.tw/news/ait/201705130179-1.aspx
「設定更新已經完成25%,不要關閉你的電腦」急著下班時,看到這個很”想哭”嗎? 談WannaCry 勒索病毒和更新修補的現實問題
https://blog.trendmicro.com.tw/?tag=wcry
台灣基層醫院也曾遭勒索攻擊
https://udn.com/news/story/11124/2460465
每131封電郵就有一封包含惡意連結或附件
http://www.chinatimes.com/realtimenews/20170512006474-260405
連公司刷卡系統都中槍 勒索病毒「全面淪陷」
http://www.appledaily.com.tw/realtimenews/article/new/20170513/1117739/
勒索病毒攻擊來襲 360建議用NSA武器庫免疫工具防禦
http://news.sina.com.tw/article/20170513/22134604.html
國內多所院校電腦出現勒索軟體感染情況,漏洞修復工具已發布
https://kknews.cc/tech/5a9n422.html
Win7以上快更新! 微軟公司宣布「解毒3法」KO勒索病毒
http://www.ettoday.net/news/20170513/923754.htm
對抗勒索病毒!已終止支援3年…微軟破戒推出XP更新
http://www.ettoday.net/news/20170514/923967.htm
中國政府機關成勒索病毒受災戶:多處入出境管理局業務停擺,官方發表勒索軟體應變指南
http://ppt.cc/dCLXf
Wannacry擴散急煞 歸功美專家發現殺着 英工程師意外一click
http://ppt.cc/YawkF
WannaCry 第二波來襲 ? 證實無 Kill-Switch 「完美」版本已面世
https://unwire.hk/2017/05/14/wannacry/tech-secure/
台高中生遭病毒勒索18000 刑事局教你怎麼做
http://www.appledaily.com.tw/realtimenews/article/new/20170513/1118094/
暫停「殺手鍵」失效!WannaCry 2.0 改良後強勢回歸
https://www.inside.com.tw/2017/05/14/wannacry-2-0
勒索病毒肆虐全球 三峽恩主公醫院慘中鏢
http://news.ltn.com.tw/news/life/breakingnews/2067324
勒索病毒肆虐,微軟批情報部門「囤積」漏洞
https://hk.thenewslens.com/article/68323
勒索病毒肆虐 台資誠:只重防火牆 輕忽漏洞修補
http://www.epochtimes.com/b5/17/5/15/n9146247.htm
十多國遭駭客網攻 傳用美國安局遭竊軟體做案
http://ppt.cc/NoPDn
多所大陸大學電腦遭入侵 駭客加密用中文勒索
https://udn.com/news/story/7333/2460327
多國遭駭客網攻「勒索」 研究員找到停止病毒擴散方法
http://www.ntdtv.com/xtr/b5/2017/05/13/a1324574.html
出手阻止勒索軟體擴散 22歲英國資安人成英雄
https://udn.com/news/story/6809/2461631
中石油確認受駭客攻擊 證監會促證券商檢查
http://tw.on.cc/cn/bkn/cnt/news/20170514/bkncn-20170514154253333-0514_05011_001.html
近百國遭駭客攻擊 中山大學南開大學等多所高校內網已經中招
https://www.cnread.news/content/2741899.html
全球勒索病毒累積贖金僅100萬 駭客還沒拿到錢
https://udn.com/news/story/6811/2463138
被駭機構漸復元 專家憂病毒更新後重襲
https://udn.com/news/story/11124/2461967
勒索病毒「史無前例」席捲全球 擴散速度放緩
http://www.my-formosa.com/DOC_117372.htm
曾遭駭客勒索 李家同:檔案存雲端沒損失
https://money.udn.com/money/story/5641/2463769
勒索病毒橫掃全球 李家同:政府用line是大笑話!
http://news.ltn.com.tw/news/life/breakingnews/2068328
勒索病毒肆虐 資策會:拔網路線堵漏洞
http://m.cna.com.tw/news/ait/201705150355.aspx
有了勒索軟體,零技能也能當駭客
https://cn.nytstyle.com/technology/20170515/hack-ransomware-scam-cyberattacks/zh-hant/
勒索病毒程式碼 背後主謀與朝鮮駭客相似
http://ppt.cc/lcw4Z
迪士尼疑中「WannaCry」 駭客威脅公開魔盜王新片
http://hd.stheadline.com/news/realtime/wo/904620/
駭客根本不知誰在付款!支付 WannaCry 勒索軟體贖金成效存疑
http://ppt.cc/rDr17
決戰 WanaCrypt0r!中國網友拿 19 款防毒軟體練兵:斷網、不更新病毒碼,哪些防毒軟體主動防禦成功
http://technews.tw/2017/05/16/19-antivirus-vs-wanacrypt0r/
WannaCry勒索軟體肆虐 企業宜採措施防範威脅
https://www.ctimes.com.tw/DispNews-tw.asp?O=HK15FAPH0WGSAA00NT
WannaCry疑源於NSA庫存 促訂數碼公約規範 微軟斥美藏網絡軍備知情不報
https://news.mingpao.com/pns/dailynews/web_tc/article/20170516/s00014/1494871699158
WannaCry病毒:細剖事件尋蹊蹺 匡恩網路探真知
http://iview.sina.com.tw/post/12460454
老舊 Windows XP 容易遭受攻擊,國內中小企業仍不敢輕易升級版本
http://technews.tw/2017/05/16/windows-xp-2/
印證資安爆發年 勒索軟體大爆發
http://www.chinatimes.com/realtimenews/20170516002270-260405
隔離內網不能高枕無憂——勒索病毒傳播帶來的安全警示
http://news.sina.com.tw/article/20170516/22176306.html
全球互聯網遭勒索,企業安全意識薄弱
http://news.sina.com.tw/article/20170516/22172928.html
泄露WannaCry漏洞組織威脅稱將公佈更多惡意代碼
http://news.sina.com.tw/article/20170517/22196192.html
黑客組織威脅要放出更多漏洞 Windows 10也跑不了
http://www.readhouse.net/articles/310930656/
勒索病毒橫行 越南1900台電腦中標
https://udn.com/news/story/11124/2467548
勒索病毒疑似變種?「想哭」變成「想妹妹」
http://www.ntdtv.com/xtr/b5/2017/05/17/a1324956.html
「想哭」病毒只是小菜一碟?駭客組織:六月釋出更多軍火級網路武器
https://www.inside.com.tw/2017/05/17/shadow-brokers-threaten-to-release-more-hacking-tools-in-june
不只勒索軟體搶錢 這病毒早偷撈3千多萬
http://www.cna.com.tw/news/ait/201705170215-1.aspx
勒索病毒讓電腦、防毒軟體買氣大增 網購Win 10賣光了
http://www.ettoday.net/news/20170516/925645.htm
全世界被勒索 資安員發現解藥
http://www.chinatimes.com/newspapers/20170514000596-260301
面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼
https://blog.trendmicro.com.tw/?cat=3220
勒索軟體襲全球 贖金10億美元
http://www.chinatimes.com/newspapers/20170514000047-260202
WanaCrypt0r Ransomware 緊急快問快答
http://www.runpc.com.tw/content/content.aspx?id=109916
勒索病毒攻擊/沒買資安險 企業虧大了
https://money.udn.com/money/story/5648/2464950
勒索病毒全台5起案件 新北桃園高雄皆傳災情
http://www.nownews.com/n/2017/05/15/2523888
感染逾17萬台電腦 勒索病毒攻勢暫歇
http://www.appledaily.com.tw/realtimenews/article/new/20170514/1118170/
想哭肆虐!台灣重災?台電770台電腦中招
http://news.tvbs.com.tw/life/727505
資安專家分析 想哭病毒針對4種使用者
http://m.match.net.tw/pc/news/finance/20170516/4069888
勒索病毒突襲 資策會:XP到Win8最危險
http://www.cna.com.tw/news/afe/201705150338-1.aspx
勒索病毒防護4撇步 打這支電話有保庇
https://udn.com/news/story/11124/2466557
全台機關學校 已209台電腦遭勒索病毒攻擊
http://news.ltn.com.tw/news/life/breakingnews/2069548
勒贖肆虐亞洲 美基礎設施也遭殃
https://udn.com/news/story/11124/2465956
缺乏資安觀念 台灣成勒索病毒重災區
http://ppt.cc/dOljN
專家指受害者可與駭客聯絡 但最好還是要更新作業系統
http://ppt.cc/hyVKt
勒索病毒全球肆虐! 各國追查背後藏鏡駭客
http://news.ebc.net.tw/news.php?nid=63236
更新防毒軟體定期備份 教會也要小心
https://www.ct.org.tw/1306953
< WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單
https://blog.trendmicro.com.tw/?tag=%E6%BC%8F%E6%B4%9E%E6%9B%B4%E6%96%B0
賽門鐵克、卡巴斯基發現證據 WannaCry可能源自於北韓
http://www.ettoday.net/news/20170517/925750.htm
勒索病毒時間序整理,全球網友同步大吐槽
http://ccc.technews.tw/2017/05/17/wannacry-on-reddit/
勒索病毒坑了Windows!這一幕蘋果笑而不語
http://news.sina.com.tw/article/20170516/22186052.html
Wannacry勒索到“黑客界蒙羞”的太少比特幣 Adylkuzz鎖定門羅幣作案更鬼祟
http://ppt.cc/FbcQ2
國家計算機病毒中心監測發現勒索病毒新變種
http://news.xinhuanet.com/tech/2017-05/17/c_1120990495.htm
想哭危機 資安長皮繃緊
http://www.chinatimes.com/newspapers/20170518000093-260203
IBM Security如何看待肆虐全球關鍵基礎架構的勒索病毒“Wanna
Cry2”
http://www.runpc.com.tw/content/content.aspx?id=109923
勒索病毒出現“黑吃黑”,付贖金買“平安”的希望更加渺茫
https://news.xfastest.com/%E5%85%B6%E4%BB%96/34411/ransomware-wannacry-and-hackers-against-each-others/
資安工程師警告:Win8、Win10是WannaCry網路蠕蟲下波攻擊對象
https://newtalk.tw/news/view/2017-05-18/86999
WannaCry:新瓶裝老酒
http://www.runpc.com.tw/content/content.aspx?id=109925
Check Point事件回應團隊追蹤 WannaCryptor勒索軟體全球肆虐活動狀況
http://www.runpc.com.tw/content/content.aspx?id=109924
安全威脅百科全書 RANSOM_WANA.A
http://about-threats.trendmicro.com/Malware.aspx?language=tw&name=RANSOM_WANA.A
英文參考資料
wanadecrypt
https://github.com/gentilkiwi/wanadecrypt/releases
WanaCryptor File Encryption and Decryption
https://modexp.wordpress.com/2017/05/15/wanacryptor/
Demonstration of WannaCry Ransomware Infection (non-tech)
https://youtu.be/K8DJCqSPmdI
'Accidental hero' halts ransomware attack and warns: this is not over
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack?CMP=share_btn_fb
Comodo Firewall 10 vs WannaCry Ransomware
https://malwaretips.com/threads/comodo-firewall-10-vs-wannacry-ransomware.71403/
Massive ransomware attack hits 99 countries
http://myfox8.com/2017/05/12/massive-ransomware-attack-hits-99-countries/
What about WannaCry 2.0? Improvements of the ransomware code would have unpredictable
http://securityaffairs.co/wordpress/59087/breaking-news/wannacry-improvements.html
WikiLeaks Reveals 'AfterMidnight' & 'Assassin' CIA Windows Malware Frameworks
http://thehackernews.com/2017/05/windows-malware-framework.html
Customer Guidance for WannaCrypt attacks
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
WannaCry New Variants Detected
https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e
Hunt for Hackers Behind Global Cyberattack Begins
https://latesthackingnews.com/2017/05/14/hunt-hackers-behind-global-cyberattack-begins/
Purdue grad stops worldwide cyberextortion scheme
http://ppt.cc/D2a4I
WannaCry The largest ransom-ware infection in History
https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58
[Bobao360 Report] WanaCrypt0r blackmail worm complete analysis report
http://ppt.cc/e01BW
It's Not Over Yet, #WannaCry 2.0 Ransomware has Just Arrived With No 'Kill-Switch'
WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives
WannaCry Ransomware Scanner and Vaccine Toolkit
https://blog.trustlook.com/2017/05/14/wannacry-ransomware-scanner-and-vaccine-toolkit/
WannaCry 掃描儀
https://github.com/apkjet/TrustlookWannaCryToolkit/tree/master/scanner
WannaCry Ransomware 免疫工具
https://github.com/apkjet/TrustlookWannaCryToolkit/tree/master/vaccine
Beware of WannaCry Ransomware Spreading
https://www.hkcert.org/my_url/en/blog/17051401
VirusTotal:
https://www.virustotal.com/en/domain/iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/information/
Wanna Cry: How to Protect Yourself from Ransomware
https://www.purevpn.com/blog/how-to-protect-from-ransomware/
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
http://ppt.cc/DgcCk
US-CERT Alert (TA17-132A) Indicators Associated With WannaCry Ransomware
https://www.us-cert.gov/ncas/alerts/TA17-132A
It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'
http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html
Massive WannaCry/Wcry Ransomware Attack Hits Various Countries
http://ppt.cc/Bb0IN
Trend Micro RANSOM_WANA.A
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Ransom_Wana.A
McAfee Protecting against Ransom-WannaCry (May 2017)
http://ppt.cc/05ZtA
Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows (XP, Vista, 8,...)
http://thehackernews.com/2017/05/wannacry-ransomware-windows.html
Wcrypt tracker - WannaCrypt stats page now live(Online 1,181)
https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all
WanaCrypt0r 2.0 Ransomeware Sample
http://ppt.cc/XKXQL
WannaCry, WNCry, WanaCrypt0r, Wana Decrypt0r Ransomware Help & Support Topic
http://ppt.cc/ckVrt
Global WannaCry ransomware outbreak uses known NSA exploits
http://blog.emsisoft.com/2017/05/12/wcry-ransomware-outbreak/
花 8.29 英鎊拯救世界,WannaCrypt 勒索病毒中場休息
http://blog.darkthread.net/post-2017-05-14-reg-domainname-stop-wannacrypt.aspx
Ongoing WannaCry Ransomware Spreading Through SMB Vulnerability
https://www.alienvault.com/blogs/labs-research/ongoing-wannacry-ransomware-spreading-through-smb-vulnerability
WannaCry Indicators
https://otx.alienvault.com/pulse/5915db384da2585b4feaf2f6/
Cybereason RansomFree Detects and Stops WannaCry Ransomware
https://www.cybereason.com/cybereason-ransomfree-detects-and-stops-wannacry-ransomware/
WannaCry no more: ransomware worm IOC's, Tor C2 and technical analysis + SIEM rules
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
How to protect from wcrypt (Wanna Cry)? [on hold]
http://stackoverflow.com/questions/43952057/how-to-protect-from-wcrypt-wanna-cry
An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak
https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#58fad169e599
How to Rapidly Identify Assets at Risk to WannaCry Ransomware and ETERNALBLUE Exploit
https://blog.qualys.com/securitylabs/2017/05/12/how-to-rapidly-identify-assets-at-risk-to-wannacry-ransomware-and-eternalblue-exploit
Technical attack analysis with IOCs here
https://socprime.com/en/blog/wannacry-no-more-ransomware-worm-iocs-tor-c2-and-technical-analysis-siem-rules/
Reverse engineering of the malware sample by Faisal Abdul Malik Qureshi is here
http://malwarenailed.blogspot.com/2017/05/wanna-cry-quick-analysis.html
Quickpost: WannaCry’s Mutex Is MsWinZonesCacheCounterMutexA0 (Digit Zero At The End)
https://blog.didierstevens.com/2017/05/14/quickpost-wannacrys-mutex-is-mswinzonescachecountermutexa0-digit-zero-at-the-end/
Cylance vs. WannaCry-WanaCrypt0r 2.0
https://www.cylance.com/en_us/blog/cylance-vs-wannacry-wanacrypt0r-2-0.html
bitdust/WamaCry github
https://github.com/bitdust/WamaCry
22-year-old who halted global cyber-attack: 'I'm no hero' – video
https://www.theguardian.com/technology/video/2017/may/16/marcus-hutchins-man-who-halted-global-cyber-attack-im-no-hero-video?CMP=twt_a-technology_b-gdntech
The research team at AV-TEST has identified 452 samples related to the #WannaCrypt #ransomware so far. You can find a list of SHA256 hashes below
https://plus.google.com/+avtestorg/posts/AwZPe1EtWNy
PayBreak able to defeat WannaCry/WannaCryptor ransomware
https://www.benthamsgaze.org/2017/05/16/paybreak-able-to-defeat-wannacrywannacryptor-ransomware/
Ransomware Potential Link to North Korea
http://www.intezer.com/wp-content/uploads/2017/05/Intezer_WannaCry.pdf
WannaCry Ransomware – What We Know, and What You Can Do
https://www.lastline.com/blog/wannacry-ransomware/
Further Analysis of WannaCry Ransomware
https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/?utm_content=sf78926989&utm_source=linkedin&utm_campaign=Enterprise#sf78926989
Microsoft issues first Windows XP patch in 3 years to stymie 'WannaCrypt'
http://www.cio.com/article/3196667/desktop-computers/microsoft-issues-first-windows-xp-patch-in-3-years-to-stymie-wannacrypt.html
The number of victims would rise on Monday when a large number of users will be back at work, then how to protect your systems from the WannaCry ransomware.
http://securityaffairs.co/wordpress/59109/malware/wannacry-ransomware-countermeasures.html
Ransomware decrypts Taiwanese netizen's computer due to his low income
http://www.taiwannews.com.tw/en/news/3161826
TrendMicro (2017/05/13)
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Ransom_Wana.A
Malwarebytes(2017/05/13)
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
Microsoft(2017/03/01)
http://ppt.cc/TUPS0
Microsoft(2017/05/14)
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/
piyolog(2017/05/13)
http://d.hatena.ne.jp/Kango/20170513/1494700355
peerlyst(2017/05/14)
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
GitHub(2017/04/27)
https://github.com/countercept/doublepulsar-detection-script
iThome(2017/05/14)
http://www.ithome.com.tw/news/114147
MalwareTech(2017/05/13)
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
Nmap NSE script to detect MS17-010 vuln used by WannaCry
https://securityonline.info/nmap-nse-script-detect-cve-2017-0143-vuln-used-wannacry/
Preventing WannaCry (WCRY) ransomware attacks using Trend Micro products
https://success.trendmicro.com/solution/1117391-updates-on-the-latest-wcry-wannacry-ransomware-attack-and-trend-micro-protection
沒有留言:
張貼留言