小心,一大波病毒来袭!!

释放双眼,带上耳机,听听看~!

好消息,新勒索病毒不用支付比特币了……

自从勒索大范围感染以来。全球范围内很多用户中招,也有一些用户尝试向黑客支付赎金,但对于国内用户而言,这又是一件非常困难的事。 很多用户不知道如何兑换比特币、如何进行交易?尤其是9月4日下午,随着央行等七部门联合发布《关于防范代币发行融资风险的

前天(1月16日),几个不同的合作伙伴联系到我和同事,说郑州某医院网络出现大面积故障,业务停顿,怀疑被病毒攻击,希望我们能进行技术支持。

收到报告,我紧急抽调了两名工程师开车直奔客户现场。

晚上九点,到达客户现场,和客户的工程师一起分析情况,并制定了应急措施。在网络内出现问题的网段内的计算机上卸载了上面原来安装的杀毒软件并安装卡巴斯基,经过扫描,在网络内发现trojan.w32.shadowbrokers病毒和一系列的变种。


并在一台感染该病毒的服务器病毒文件所在的目录下发现以下文件:

里面可以清楚的看到,这次的攻击采用的是基于445端口的SMB漏洞和基于3389端口的RDP漏洞。


基本可以确定这次网络故障跟病毒攻击有一定的关系,经过全体人员的努力,晚上加班到凌晨四点,17号又部署了一天,将医院内电脑上原有的杀毒软件卸载,更换为卡巴斯基,并进行了统一扫描杀毒处理,问题终于得到解决。



这不是我们遇到的第一起这样的案例了,就在上周五,也是郑州某医院网络出现问题,我安排技术工程师过去后安装卡巴斯基扫描,也是发现了大量的这个病毒。

再加上最近,好几个医院向我们求助的网络内计算机遇到大面积蓝屏等情况。经过扫描也发现永恒之蓝的变种:


其实这些所有的问题,都跟一个组织脱不了关系。

就是“臭名昭著”的影子经纪人(Shadow Brokers),该组织最出名的行为,是今年4月14日,公开了一大批NSA(美国国家安全局)“方程式组织” (Equation Group)使用的极具破坏力的黑客工具,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。本次被公开的工具包大小为117.9MB,包含23 个黑客工具,5月12号全球爆发的“永恒之蓝”就是利用了该武器库中的一个攻击工具。

号称完美破解GandCrab勒索病毒的某厂商,你真的不会脸红吗?

首先,我声明一下为什么要写这篇文章,有两个原因,一是有同学问我:你不是说勒索病毒基本上无解吗?为什么这次这么快就公布出来密钥了呢?二是我今天看到某数字公司公众号发的一篇文章《席卷全球的勒索病毒GandCrab,已被XXX安全大脑完美攻克解密!》,顿时

经过初步梳理,重点关注对win server有影响的几个工具如下:

  • Explodingcan IIS 漏洞利用工具,只对 Windows 2003有影响  

  • Eternalromance SMB 和 NBT 漏洞利用工具,影响端口139 和445  

  • Emphasismine 通过 IMAP漏洞攻击,攻击的默认端口为143  

  • Englishmansdentist 通过 SMTP 漏洞攻击,默认端口25  

  • Erraticgopher 通过 RPC 漏洞攻击,端口为445  

  • Eskimoroll 通过 kerberos 漏洞进行攻击,默认攻击端口88  

  • Eclipsedwing MS08-67 漏洞利用工具  

  • Educatedscholar MS09-050 漏洞利用工具  

  • Emeraldthread MB 和 Netbios 漏洞利用工具,使用445 端口和139 端口  

  • Zippybeer SMTP 漏洞利用工具,默认端口445  

  • Eternalsynergy SMB 漏洞利用工具,默认端口445  

  • Esteemaudit RDP 漏洞利用工具,默认攻击端口为3389

受影响的Windows 版本包括Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。


全世界70%的windows服务器置于危险之中。

对我们的警示:


  本次公开的工具包中,包含多个 Windows 漏洞的利用工具,只要 Windows 服务器开了25、88、139、445、3389 等端口之一,就有可能被黑客攻击,其中影响尤为严重的是445 和3389 端口。在未来的一段时间内,互联网上利用这些公开的工具进行攻击的情况会比较多,除了提醒用户,发布公告外,需要加强入侵监控和攻击防范。

缓解和处理措施:  

1、升级系统补丁,确保补丁更新到最新版本。微软MS17-010补丁下载地址可参考:http://www.satech.cn/satech/download/  

2、使用防火墙、或者安全组配置安全策略,屏蔽对包括445 、3389 在内的系统端口访问。

3、安装专业的网络版杀毒软件。在我们处理的这些被攻击的单位中,大都安装的有杀毒软件,最常见的就是一些免费的个人版杀毒软件,对于单位用户来说,需要的是专业的企业级网络版杀毒软件,可以集中管理和策略设置,可以统观全局,了解病毒攻击情况和生成报告,管理员可以快速有效的作出应对措施,而这些很显然单机版是做不到的。

欢迎关注:大兵说安全。

也欢迎关注我的个人微信,共同探讨。

本文源自微信公众号:大兵说安全

新的勒索病毒全球爆发,我们如何自保?

昨天深夜,收到卡巴斯基发过来的一封邮件,告知发现新的勒索病毒。          该勒索病毒变种本周二在全球爆发,英国(WPP)、乌克兰、波兰、意大利、丹麦(Maersk)、俄罗斯(Rosnoft)美国(Merck)多家大型企业报告遭受病毒袭击,其中重灾区乌克兰的政府、

人已赞赏
安全工具

论工控生产系统的数据备份及系统灾难恢复方法

2019-10-14 17:33:35

安全工具

好消息,新勒索病毒不用支付比特币了......

2019-10-14 17:33:41

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索