2017年7月1日 星期六

Wannacry病毒深度技術分析(六)-勒索篇



在加密檔案的期間,Wannacry會使用各種方式抹除原始檔案的痕跡避免被受害者恢復
同時浮上檯面勒索受害者
本篇介紹Wannacry這些防止恢復的手法

2017年6月24日 星期六

Wannacry病毒深度技術分析(五)-加密篇

承上文的佈局篇
我們在這裡要分析Wannacry的加密部分
加密這部分仍然是由t.wnry負責的
為了能夠以最高的效率加密受害者的檔案,作者在這裡可是費煞苦心哪

2017年6月16日 星期五

Wannacry病毒深度技術分析(四)-佈局篇



分析完了MS17 010漏洞
我們把重心再回到Wannacry本身上面
這一次要分析的是它的加密和勒索前的佈局部分
這部分是隨著Wannacry的變種變化最多的
在此我們以初版的Wannacry為主來研究

2017年6月12日 星期一

Wannacry病毒深度技術分析(三)-漏洞利用篇



如果說EternalBlue開了Windows的後門
那DoublePulsar就是從這後門侵門踏戶的真正攻擊者
因此網路上有些關於這漏洞的分析文章會把他們搞在一起
畢竟Wannacry已經把這兩階段的攻擊合併了
沒見過原本EternalBlue和DoublePulsar組合攻擊的人很難分辨出來

2017年6月5日 星期一

Wannacry病毒深度技術分析(二)-系統漏洞篇




上一篇文章裡我們提到Wannacry利用MS-17 010漏洞感染其他電腦
但並沒有提到是如何感染的
因為它背後牽涉的技術非常多且複雜
在這裡我們將用一整篇文章的篇幅來介紹MS-17 010這個漏洞

2017年6月4日 星期日

Wannacry病毒深度技術分析(一)-傳播篇



在Wannacry造成災情之前
筆者剛好有在研究他所利用的漏洞-EternalBlue
也因此有機會在Wannacry事件中盡一番心力
於是想藉此把Wannacry像熱血系列一樣

用反向工程(Reverse engineering)研究一下
所以在之後的文章裡

我們會用幾篇文章的篇幅把Wannacry大卸八塊
看看他內部到底是怎麼運作的

2017年5月13日 星期六

WanaCrypt0r 2.0 (EternalBlue MS 17-010) 手動防止和偵測法


根據 MalwareHunterTeam 的 twitter 記載
Ransomeware WanaCrypt0r 2.0 正在大規模攻擊漏洞系統
台灣首當其衝、是受害者最多的地區之一
請趕快在自己的系統安裝 KB4012215  (此連結為巴哈網友整理的更新檔連結)

如果、假設、萬一
你是很想更新但又無法更新或是更新太慢的人
網路上有人提出關閉 139 或 445 port的方法、或關閉路由器的相關port
這裡提供另一種手動阻擋病毒攻擊手段的方式