來寫一些演講觀後小心得
紀錄關於最近很紅的WannaCry的一些小知識(?)
==========================================
WannaCry是一款最近很紅的
加密之後可以穩穩妥妥的幫你保管電腦裡面的隱私
保證任何人都看不到!任何人!!
WannaCry主要可以拆分成Playload(MS17_010)、蠕蟲、加密軟體三個部分
本次事件的源起於駭客組織Shawdow Brokers釋出許多簡單易用的網路攻擊武器
本來想賣掉結果沒人理他只好默默放密碼2333
駭客組織Shadow Brokers 將繼續拍賣網路武器,就等NSA買斷
Shawdow Brokers的本營(?) https://twitter.com/shadowbrokerss
其工具包包含EternalBlue,注意EthernalBlue只是Ethernal系列的其中一個工具而已
而WannaCry使用EternalBlue來進行windows系列的漏洞攻擊
雖然微軟在3月份發布更新,WannaCry於5月爆發,但許多使用者並沒有更新的習慣而產生重大災情。
特點
1.主動式攻擊
有別於被動式攻擊,需要誘捕使用者點擊連結而下載、執行惡意程式,WannaCry只要使用者電腦有漏洞就可以神不知鬼不覺的投放病毒。
2.MS17_010的特點
・SMB遠程溢出漏洞
・具有威脅性、易用性、穩定性、普遍性
・SMB遠程溢出漏洞
・具有威脅性、易用性、穩定性、普遍性
3.比特幣勒索軟體
緣由於在比特幣交易中,任何人都能查看任何 Bitcoin 地址的餘額和交易。但是,在地址背後的用戶身份卻是無法知道的,除非相關資訊在一個商業活動或其他環境中被披露。
預防方法
關閉網路芳鄰、上更新WanaCrypt0r 2.0 大規模攻擊漏洞系統相關資訊整理與現階段預防方式
注意網除了port 445之外還有port 139、port 3389
這些都是遠端操作常用的port
TCP/UDP埠列表
偷吃步:WannaCry是一款勒索病毒,所以在加密的時候會放過windows資料夾讓受害電腦可以執行勒索畫面、顯示一些匯款訊息。在WannaCry的案例中,把重要檔案放在windows資料夾底下或是將重要資料壓縮並更改副檔名為系統檔(ex *.dll、*.sys)是可行的
解決方法
1.拔網路線?注意WannaCry的蠕蟲執行條件是連不上某個網域(CMC Server)就執行,所以關閉網路反而會執行加密程式
英国小哥救了全世界电脑一命!他不怕黑客怕这个
逆向WannaCry ransomware
殭屍網路或蠕蟲,他們都需要一個頭頭發號施令,像是註冊網域成為蠕蟲之王之類的..
2.關機
關機雖然可以強制停止執行,但是儲存於memory中的encrytion key也會揮發,所以關機之後WannaCry decryp tool就不能用了。
但是一般來說一開始中毒,解毒程式(?)不會這麼快出現,關機是最穩妥的方法。
關機之後可以使用usb開機,把未感染的資料複製出來,被加密的檔案也可以試試使用檔案救援軟體救回。
3.入侵古董電腦跑不動 WannaCry慘被XP「強制停止回應」
平時的防禦權重(?):防火牆>更新>防毒軟體
補充資料
你今天fb了沒(fb.opi 好像吧....沒聽清楚)大約是2017 4、5月左右Shawdow Brokers釋出的自動化攻擊工具,主要的功能是遠端侵入電腦植入後門程式。值得注意的是後門程式通常是難以發現的,所以掃毒軟體(掃毒軟體主要利用異常行為偵測、病毒偵測,後門程式會想辦法不被發現,所以只要還沒被發現以上偵測是抓不到的)不會發出警報,無法判斷到底有沒有植入後門程式...
就算已經更新把漏洞補上,只要後門程式還在就有辦法重新控制你的電腦。
另外 Shawdow Brokers 預告在6月份會再拍賣另一款攻擊軟體,上面預防方法和解決方法都是假的,平常多做備份才是真的!