Aipp_SecurityBlog 信言不美,美言不信。善者不辩,辩者不善。知者不博,博者不知。
Shadow Brokers组织宣布将在6月公开更多0day漏洞!
发表于 2017-5-17 | | news
几小时前,Shadow Brokers发布了一篇声明,将从2017年6月开始公布更多0day漏洞。
去年8月份Shadow Brokers在网上放出方程式组织的入侵工具,这个“方程式组织”隶属于NSA旗下。当时Shadow Brokers将工具打包成了2部分,其中一部分300MB提供免费下载,另外一部分加密文档则以100万比特币的价格出售,可能是100万比特币的价格过于高昂导致无人问津,之后Shadow Brokers只好主动公布了这份300MB文件的解压密码。

或许是WannaCry蠕虫病毒的爆发让Shadow Brokers更加有底气,Shadow Brokers又开始了赚钱的想法,以后新公布的漏洞不会向所有人公开,而是会收取费用。

“TheShadowBrokers将启动月费订阅模式,有点像‘本月美酒俱乐部’。每个月提交会员费,然后获取只提供给会员的泄露数据。”
这样的模式有利有弊。好处在于之后的这些漏洞在公布之后就会有针对的补丁,而坏处在于黑客组织会把这些0day exp和黑客工具卖给私密的会员,而不会告知微软。

很显然,之后Shadow Brokers可能会有各类客户,包括其他的一些黑客、犯罪组织、国家支持的那些黑客们,可能还会有记者和科技公司。
6月暴风雨来袭,你准备好了吗?

Shadow Brokers称,会员会收到的泄露信息会包括:
针对浏览器、路由器和智能手机的exp
针对操作系统的exp,包括Windows 10操作系统
从银行和使用Swift金融信息系统的机构泄露的数据
从俄罗斯、中国、伊朗、朝鲜窃取的核导弹项目的网络信息


Shadow Brokers组织发布的这份声明中的情况暂时还无法验证,但基于之前Shadow Brokers泄露文件的真实性,这份声明必须严肃对待。之前Shadow Brokers泄露的EternalBlue和DoublePulsar漏洞已经对全球网络造成了重大影响。

关于“wannacry”勒索软件的紧急预警(相关专杀和文件修复工具)
发表于 2017-5-14 | | news

日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-101)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@[email protected]”;三是生成随机IP并发起新的网络攻击。


由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:

1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。

2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。

3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

5、目前亚信、安天、360、北信源四家公司已经研发出针对该病毒的最新专杀工具。

亚信专杀下载地址(32位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

亚信专杀下载地址(64位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

亚信专杀使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

安天专杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。

安天应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。

360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune

360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller

北信源公司专杀免疫工具下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205

    360 企业安全针对“永恒之蓝”攻击紧急应对手册
      360企业安全针对“永恒之蓝”攻击的应急处理.pdf




文件恢复
       下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
       下载地址http://dl.360safe.com/recovery/RansomRecovery.exe

       注意:不能百分之百恢复文件,工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高
        来源http://bobao.360.cn/news/detail/4162.html

全球爆发勒索病毒攻击,国内中枪(附修复方案)
发表于 2017-5-13 | | news


ca.png
今早睡一觉起来就发现国内出大事了,发现很多人谈到被感染了勒索病毒(文件被锁需支付赎金)今年真是多事之秋
由于前不久爆出NSA方程式工具,此次大面积感染便是445等漏洞引起



测试了下至今为止在公网上仍旧存在大量开放445端口的机器,部分可以成功利用!

扫了一下 一会就成功一台

9.png
666.png
很多运营商IDC公司已经屏蔽了危险的端口但是问题没有解决,内部还是脆弱的,若在同一个网络环境下还是一打一个准。

----------修复方案----------

工具解
决办法1

1.1微软升级补丁(微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告)[4]
KB4012215
KB4012212赶快收藏,应对勒索软件“WannaCry”的开机指南

例如windows 7 64位用户 两个补丁都要下载安装,安装无先后顺序

有XP和windows2003更新补丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

1.2内部网络

1.3建立灭活域名实现免疫

安天CERT的最新分析结论表明,勒索软件的触发机制是否能访问

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com(注:“[]”是为了防止误操作点击刻意添加,实际域名中无“[]”),如果访问成功,则不会触发勒索功能。

注:不建议隔离网用户直接连接互联网方式进行灭活。

根据此结论,网络管理人员可以先在内部网中建立灭活域名,必须搭建内部解析服务。可以通过在内部网络搭建DNS Server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com域名地址解析到内网WEB Server的IP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。同时,也可以监测内网访问该域名的用户IP地址和用户数量统计出内部用户的感染情况。

1.4操作步骤

准备移动U盘或者光盘;

下载专杀工具和免疫工具:

地址如下:

(1)蠕虫勒索软件专杀工具(WannaCry):
Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。提示:建议将该工具刻录至光盘后在电脑中运行,避免重复感染。
http://www.antiy.com/response/wannacry/ATScanner.zip

(2)蠕虫勒索软件免疫工具(WannaCry):

本工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等功能,能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件,但不能阻断WannaCry在本机上的运行。提示:建议将该工具刻录至光盘后在电脑中运行,避免重复感染。
http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

将下载的两款工具拷贝至U盘或刻入光盘;
拔掉主机网线,开机;

使用蠕虫勒索软件免疫工具(WannaCry),免疫工具可以提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等多种方式对勒索软件WannaCry感染传播途径进行有效阻断,实现主机免疫功能;赶快收藏,应对勒索软件“WannaCry”的开机指南

免疫后,使用蠕虫勒索软件专杀工具(WannaCry),WannaCry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除。(但无法解密已经被加密的文件。)赶快收藏,应对勒索软件“WannaCry”的开机指南

关机、重启机器,连接网络,开启系统自动更新,并检测更新进行安装。

互联网络

对于接入互联网的网络,可无需建立灭活域名。如有条件,也可参照2.2.1设置灭活域名。但切忌把iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com作为IOC用来阻断对该域名的请求!!!

被WannaCry勒索者感染的用户补救方案
首先拔掉网线,与内网其他机器隔离;

使用蠕虫勒索软件免疫工具(WannaCry)免疫;

使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;


手动解决办法二
适用于客户端操作系统
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。

适用于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
在“功能”窗口中,清除“SMB 1.0/CIFS 
文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。

适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表
注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建项︰ SMB1,值0(DWORD)
重新启动

一、关闭并禁用Server服务。以管理员权限打开CMD,运行
net stop server
sc config LanmanServer start= disabled

二、开启防火墙,禁用445端口。以管理员权限打开CMD,运行以下脚本(锦佰安提供):
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

三、对于微软不再提供补丁的Windows XP用户,打开CMD,运行(记得禁用相关服务):
net stop rdr
net stop srv
net stop netbt

四、对于Windows 7以上版本的用户,如果有外网,直接打补丁即可:
https://technet.microsoft.com/zh-cn/library/security/MS17-010

五、使用360NSA武器库免疫工具,下载地址:http://dl.360safe.com/nsa/nsatool.exe


----------------------------------------------
中招尝试解决方案(来自网络)
----------------------------------------------

方法一:

1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment. 
6:再点击decrypt 解密文件即可。

方法二:
下载开源的脚本(需要python3环境)来运行尝试恢复。
下载链接:https://github.com/QuantumLiu/antiBTCHack


TOP