V2EX › acess 的所有回复 › 第 90 页 / 共 108 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 86 87 88 89 90 91 92 93 94 95 ... 108

❮

❯

2017-05-15 08:52:14 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@Technetiumer
“该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。”
不知道这贴来自几楼？
按照目前的分析，这病毒加密一个文件换一个密钥，是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误，但我觉得本地生成加密密钥真的是亮点……（但如果病毒没及时从内存中清除掉私钥，折腾那么多就完全没意义了，内存 dump 即可破之）

2017-05-15 08:43:03 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@Domains
MBR 木马“暗云”不就没有实体文件……
还有 IDM 啥时候有安全功能了，万一人家不用 HTTP 协议呢？

2017-05-15 08:38:34 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

这个东西主要还是靠神洞 eternalblue 传播的吧？不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的，并不是另找一台虚拟机来感染它。

2017-05-15 08:25:53 +08:00

回复了 acess 创建的主题 › 问与答 › 可以利用反删除软件找回被 WanaCry 勒索蠕虫加密的文件么？

@zander LZ 确实是外行……如果这贴只起到增加噪音的作用，把它沉了我也没啥好说的……

2017-05-15 01:29:19 +08:00

回复了 baskice 创建的主题 › 问与答 › 现在杀毒软件的作用只剩下主动防御了吗？

@Technetiumer 点水不漏的勒索需要收集足够的熵……不知道这个有没有可能作为检测的“靶标”？

2017-05-15 01:14:19 +08:00

回复了 baskice 创建的主题 › 问与答 › 现在杀毒软件的作用只剩下主动防御了吗？

Windows Defender 确实爆出洞了，不知道影响有多大，就怕是格式化 C 盘重装，扫到 D 盘病毒复活那种……
另外，看过 360 的一些文章，发现有些软件很可能带着 Nday 漏洞的 Flash 等组件，还会用明文 HTTP 协议联网……有多坑可想而知。用户因为这个中招的例子也是有的。

2017-05-14 23:41:56 +08:00

回复了 sunsol 创建的主题 › 问与答 › 关于那个比特币病毒，真有人支付成功后解除病毒吗？

我看过一些媒体报道，印象中，勒索软件就是这样，技术都是现成的，但就是让受害者没办法，不愿意支付赎金，就只能放弃被加密的文件。
但是这波 WanaCry 好像比较蠢，作者忘记让程序抹掉未加密的原文件了……好像已经有人尝试反删除软件成功恢复数据。
PS：个人不相信 360 阴谋论。

2017-05-14 23:39:10 +08:00

回复了 sunsol 创建的主题 › 问与答 › 关于那个比特币病毒，真有人支付成功后解除病毒吗？

360 已经出分析了……发在安全客上。
看上去只有检查赎金、解密文件时才需要连 Tor，加密是离线完成的，而且特别丧病：每一台受害机都会生成一对唯一的 RSA 密钥，每一个文件也用了唯一的 AES 密钥。

2017-05-14 23:26:18 +08:00

回复了 idler 创建的主题 › 问与答 › 不知这么推断合理不？从 WannaCry 大陆感染情况侧写国家防火墙的作用对象

360 已经出了一个“ 360 勒索蠕虫病毒文件恢复工具”。好像是个反删除工具，利用了勒索者忘记擦除未加密文件的疏漏。

2017-05-14 23:22:58 +08:00

回复了 idler 创建的主题 › 问与答 › 不知这么推断合理不？从 WannaCry 大陆感染情况侧写国家防火墙的作用对象

根据这篇分析，病毒开始加密时并不需要回传密钥，只有在检查赎金是否支付时才需要连上 Tor，然后透过 Tor 检查是否已经支付赎金、上传加密过的 RSA 私钥。

2017-05-14 23:01:02 +08:00

回复了 idler 创建的主题 › 问与答 › 不知这么推断合理不？从 WannaCry 大陆感染情况侧写国家防火墙的作用对象

@geelaw 360 已经出分析了：
http://bobao.360.cn/learning/detail/3853.html
真是丧病，每一台受害机器都用新生成的 RSA 密钥对，而且每一个文件都用新生成的 AES 密钥，如果做得点水不漏，就算 dump 内存都只能解救一个文件。

2017-05-14 13:09:31 +08:00

回复了 littledream 创建的主题 › 分享发现 › 关于 WannaCrypt

@ouqihang 我觉得卡巴的分析好像不太严谨，SMBv1 都打成 SMBv2 了……

2017-05-14 13:08:57 +08:00

回复了 littledream 创建的主题 › 分享发现 › 关于 WannaCrypt

@opnb 正解。
亲测双击弹 UAC，但 TCP 445 端口传染时，受害机器 UAC 开到顶也不会弹。

2017-05-14 02:31:49 +08:00

回复了 rootliang 创建的主题 › 问与答 › 昨日传播出来的比特币勒索病毒

@gdtv
不够安全，如果你的宿主系统没打补丁，不安全，而且直接给试毒的虚拟机分配了网卡，那就 GG 了。

2017-05-14 02:30:23 +08:00

回复了 8023 创建的主题 › 问与答 › 研究研究 wcry2.0

我觉得不是这个专业的还是别瞎折腾了……现在信息噪音已经很大了，各种谣言飞起。

2017-05-13 23:34:28 +08:00

回复了 rekas2957 创建的主题 › 问与答 › 最近病毒爆发，求一个简单易用的开启/关闭端口的软件（ win 平台）？

去 FreeBuf 看看吧：
http://www.freebuf.com/vuls/134508.html
没 GUI，但简单粗暴有效……

2017-05-13 15:50:22 +08:00

回复了 loggerhead 创建的主题 › 分享发现 › 我们学校中了比特币勒索病毒，有人知道内幕吗？

@Laforet 为啥我看最近才装的 Win10 15063 虚拟机里 SMBv1 是安装的？虽然安装了，实际上也是禁用的么？

2017-05-13 13:26:54 +08:00

回复了 gdtv 创建的主题 › 问与答 › 请教 windows 加密硬盘的问题

@gdtv
我也只是外行啊……我说的仅供参考。
TPM 如果没设 PIN，或者即使开了 PIN，但对方拿到电脑时还没关机，那理论上可能被冷冻内存法直接 dump 内存找出密钥。对了，还有硬件加密没考虑，也许硬盘支持硬件加密，内存里就没密钥了，可能更安全一些。
如果真的对安全要求那么高，那系统安全也得把守住，否则可能被键盘记录、mimikatz 之类手段搞到密码（复杂密码也可能泄露啊）。而且，如果平时使用时，系统有漏洞，或者自己手贱了，中了木马，也会 GG。

1 ... 86 87 88 89 90 91 92 93 94 95 ... 108

❮

❯