V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rootliang
V2EX  ›  问与答

昨日传播出来的比特币勒索病毒

  •  
  •   rootliang · 2017-05-13 13:47:00 +08:00 · 7698 次点击
    这是一个创建于 2751 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨日传播出来的比特币勒索病毒已经提取出来了,空蜜罐文件也被加密了,下载地址在下方,有能力搞的老哥看一下,现在在尝试用之前的老方法解出密钥,也希望各位大神来帮看一下 Markdown
    https://share.weiyun.com/22ee294982f51d4bb2eadf329f4cb256

    53 条回复    2017-05-14 23:20:00 +08:00
    jingniao
        1
    jingniao  
       2017-05-13 14:21:43 +08:00
    这是什么公司?另外,老哥是搞安全的?
    rootliang
        2
    rootliang  
    OP
       2017-05-13 14:23:38 +08:00
    @jingniao 然而都不是,学校机房来的
    tblxdezhu
        3
    tblxdezhu  
       2017-05-13 14:24:25 +08:00 via Android
    楼上怎么看出来是公司的?
    jingniao
        4
    jingniao  
       2017-05-13 14:25:17 +08:00
    好吧,脑子没转圈
    gdtv
        5
    gdtv  
       2017-05-13 14:25:57 +08:00
    弱弱问一下,在 virtual 虚拟机里运行安全吗?
    rswl
        6
    rswl  
       2017-05-13 14:26:14 +08:00   ❤️ 1
    好多妹子
    zuosiruan
        7
    zuosiruan  
       2017-05-13 14:32:52 +08:00 via Android
    基本是学校中招的,像我这种有更新强迫症的人。。。🐱
    qiguai2017
        8
    qiguai2017  
       2017-05-13 14:46:05 +08:00   ❤️ 1
    我看到好多妹子开心的在笑。。。。。
    chanssl
        9
    chanssl  
       2017-05-13 14:50:02 +08:00
    @qiguai2017 可是能因为不用上课了
    relaxchen
        10
    relaxchen  
       2017-05-13 15:16:29 +08:00   ❤️ 3
    我可以感概一下 wuyun 吗?
    snsd
        11
    snsd  
       2017-05-13 15:44:41 +08:00 via iPhone
    为啥那么多女人?难道上课也要分男女(#手动滑稽)
    Ouyangan
        12
    Ouyangan  
       2017-05-13 16:03:57 +08:00
    左二妹子很好看,瓜子脸,迷人的微笑
    zhihaofans
        13
    zhihaofans  
       2017-05-13 16:06:05 +08:00 via iPhone   ❤️ 1
    @gdtv 锁硬盘而已应该 没事
    littleylv
        14
    littleylv  
       2017-05-13 16:18:53 +08:00
    @Ouyangan #12 帮你纠正一下 右二
    Ouyangan
        15
    Ouyangan  
       2017-05-13 16:20:50 +08:00
    @littleylv #14 哈哈,谢谢
    why1
        16
    why1  
       2017-05-13 16:27:47 +08:00 via Android
    下周一开机还会有问题吗
    rootliang
        17
    rootliang  
    OP
       2017-05-13 17:12:40 +08:00 via iPhone
    @littleylv 大屌萌妹都不在意?
    KayakCui
        18
    KayakCui  
       2017-05-13 17:18:57 +08:00
    计算机班怎么会有这么多女生,我不信,一定是假的
    ixinshang
        19
    ixinshang  
       2017-05-13 17:20:48 +08:00 via Android
    四川?!!
    zhouxuchen
        20
    zhouxuchen  
       2017-05-13 17:21:46 +08:00 via iPhone
    @KayakCui 并不是只有计算机班需要机房上课的...
    tabris17
        21
    tabris17  
       2017-05-13 17:22:45 +08:00
    希望周一到公司上班能看到这个画面
    ichubei
        22
    ichubei  
       2017-05-13 17:26:23 +08:00
    我想知道是怎么中病毒的, 是点击了什么网站连接、邮件、下载了什么软件? 还是扫描出有漏洞的电脑就可以直接传播到电脑上。 我到电脑 win7 早就关闭升级了,有什么危险?
    Hilong
        23
    Hilong  
       2017-05-13 17:55:20 +08:00 via Android
    @ichubei 貌似是只要你 445 端口是开着的就有可能中
    ichubei
        24
    ichubei  
       2017-05-13 17:56:15 +08:00
    @Hilong 这么牛逼
    gamexg
        25
    gamexg  
       2017-05-13 17:58:03 +08:00
    @gdtv #5 我相信它会攻击同一局域网电脑,所以请确保局域网电脑都有防护。
    ichubei
        26
    ichubei  
       2017-05-13 18:09:39 +08:00
    win 大部分开着 445 端口,为什么中病毒的面积不大呢?
    Baymaxbowen
        27
    Baymaxbowen  
       2017-05-13 18:15:34 +08:00 via Android
    @ichubei 因为运营商把这个端口给关了
    why1
        28
    why1  
       2017-05-13 18:16:37 +08:00 via Android
    男的都在干活
    xratzh
        29
    xratzh  
       2017-05-13 18:16:40 +08:00 via iPhone
    @ichubei 因为普通运营商没开这个端口而教育网就很自由了……
    asm
        30
    asm  
       2017-05-13 19:06:31 +08:00
    我虚拟机里运行后失败,仅仅是弹出来程序框,并没有加密我电脑文件的操作。。这个应该不是母体文件吧。
    小问一下,这个程序你在哪提出来的(文件夹路径之类的)?
    我判断这个文件仅仅就是弹出来这个框用于解密用的。
    JamesMackerel
        31
    JamesMackerel  
       2017-05-13 19:11:41 +08:00
    @gdtv #5 不要作死。我听到不可靠消息说有虚拟机逃逸。
    0xvincebye
        32
    0xvincebye  
       2017-05-13 19:16:37 +08:00
    @asm 同在虚拟机感觉就是个弹窗和换了个桌面
    @JamesMackerel 有点妖魔化了
    JamesMackerel
        33
    JamesMackerel  
       2017-05-13 19:20:19 +08:00
    @0xvincebye #32 那可能是那个测试的人,主机没补漏洞,结果在一个内网里面,被搞了吧。
    Rice
        34
    Rice  
       2017-05-13 20:28:52 +08:00
    @JamesMackerel #33 这个有可能
    johnny23
        35
    johnny23  
       2017-05-13 20:38:39 +08:00 via iPhone
    我有样本文件
    billie
        36
    billie  
       2017-05-13 20:55:23 +08:00
    百度 永恒之蓝样本 就有
    asm
        37
    asm  
       2017-05-13 21:03:23 +08:00
    样本已经找到( http://bbs.kafan.cn/thread-2088953-1-1.html
    lz 放出来的样本为母体加密文件后释放的用于显示勒索信息的程序,这个程序顺便带有解密功能,前提是你得有密钥。
    app13
        38
    app13  
       2017-05-13 21:54:11 +08:00
    @JamesMackerel #31 看到这句话之前我开了台 xp 虚拟机试了下...到现在我的主机好像表现良好没出问题...
    不过我把虚拟机网络断了(怂
    JamesMackerel
        39
    JamesMackerel  
       2017-05-13 21:55:08 +08:00
    @app13 #38 主机有补漏洞的话应该没问题的吧。
    app13
        40
    app13  
       2017-05-13 21:56:14 +08:00
    @JamesMackerel #39 应该是,不过不敢试...
    usufu
        41
    usufu  
       2017-05-13 22:09:52 +08:00 via Android
    @JamesMackerel 补丁只是堵住了传播途径吧,按照我的理解 你直接双击病毒样本,还是会被感染的貌似。
    hundan
        42
    hundan  
       2017-05-13 22:16:36 +08:00 via Android
    @usufu 当然……
    suliuyes
        43
    suliuyes  
       2017-05-13 22:22:11 +08:00
    @JamesMackerel 竟然还有虚拟机逃逸?那一定要找到样本来玩一玩……
    JamesMackerel
        44
    JamesMackerel  
       2017-05-13 22:36:51 +08:00
    @usufu #41 在补上漏洞的情况下再在虚拟机里面运行,假设它确实没有虚拟机逃逸,那么就没有风险了吧。

    @suliuyes #43 也有可能是我猜测的那样,那个试的人主机没有打补丁,结果虚拟机跟主机在同一个网段,就被传播了。
    nodin
        45
    nodin  
       2017-05-13 22:48:53 +08:00 via iPhone
    这是哪个学校的机房?都是妹子。
    z742364692
        46
    z742364692  
       2017-05-13 23:10:05 +08:00
    还好公司为了安全断了外网,看来是明智的选择
    Domains
        47
    Domains  
       2017-05-14 01:36:44 +08:00
    @JamesMackerel 不要乱发挥想象力。 真那么担心,断网就是。

    @ichubei 0day 攻击
    acess
        48
    acess  
       2017-05-14 02:31:49 +08:00
    @gdtv
    不够安全,如果你的宿主系统没打补丁,不安全,而且直接给试毒的虚拟机分配了网卡,那就 GG 了。
    stabc
        49
    stabc  
       2017-05-14 03:24:41 +08:00
    我的梦想就是上班能看到这种画面
    Totato5749
        50
    Totato5749  
       2017-05-14 07:59:59 +08:00
    发现计算机病毒和生物病毒有个特性还是很像的,就是免疫屏障,这波勒索病毒会加速国内系统升级、打补丁、关闭 445 端口等。到一定数量之后,这病毒就掀不起什么巨浪了
    ichubei
        51
    ichubei  
       2017-05-14 12:38:12 +08:00 via iPhone
    @Domains win 系统已经更新。以前一直是关闭更新的,
    odoooo
        52
    odoooo  
       2017-05-14 13:05:43 +08:00
    ppbaozi
        53
    ppbaozi  
       2017-05-14 23:20:00 +08:00 via iPhone
    所以他有内网传播能力吗,机房没有重启就还原的设定吗……机房的电脑应该是全部关了防火墙的吧,我想应该不是突破机房路由进来的,是某个搞事情的 U 盘拷进来跑的吧…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2862 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 14:09 · PVG 22:09 · LAX 06:09 · JFK 09:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.