請小心附檔arj以及全英文+無明確收信人的病毒信件

近期有新一檔的arj病毒郵件,特徵是

  1. 陌生的寄件人,加上與本司職務無往來的公司、國家所寄來的
  2. 無明確或正確的收件人
  3. 附檔假裝成正常檔案的檔案名稱,例如PDF、size=xxx等
  4. 內容都是英文,要求打開附檔!
  5. 附檔的副檔名是 .arj,如果看到附檔是****.arj請直接刪除郵件! 千萬不要點擊附件檔案,其為勒索病毒執行檔。

 

此類都是病毒郵件! 如果收到此類郵件, 請直接刪除!

(千萬千萬不要點擊附檔!)

病毒郵件
假裝成PDF、arj檔,或用其他名稱掩蓋的木馬病毒郵件附檔!

 

 

如果覺得郵件有安全疑問,你可以跟寄件人確認,或請將郵件另存新檔(千萬不要點擊附檔),並上傳到以下網址分析:

https://www.virustotal.com/zh-tw/

 

下圖則是這封病毒郵件所偵測出來的病毒信息。(紅色字代表的是各大防毒軟體所偵測出來的病毒名稱)
另外如果你個人所使用的不是下列所列出的防毒軟體,建議可以換了! 請換成下列有及時偵測到新變種病毒的防毒軟體!

https://www.virustotal.com/zh-tw/ 防毒
https://www.virustotal.com/zh-tw/ 所偵測的結果
Advertisements

WanaCrypt0r 2.0防火牆被攻擊紀錄

[記錄分享]

5月15日到17日早上10點的防火牆被攻擊紀錄.
@445足足有20筆x122頁…
@139也開始攻擊了,記錄有20筆x12頁.

平日其實都只有@22跟@23的攻擊為多,自從WanaCrypt0r 2.0開始之後,就有@445跟@139的攻擊。

請各位網管或有防火牆的朋友,請記得要防患@445跟@139的外部攻擊。特別最怕內部的網路芳鄰分享功能,造成公司內部的分享檔案全被中毒且有寫入權限的電腦給加密跟勒索。

有NAS 的朋友,最好只使用網頁介面登入,上下傳檔案或類似QNAP的myqnapcloud網頁介面傳送檔案。然後將NAS的『Windows檔案服務』功能取消。至少可以避免因為網路芳鄰分享而造成的中毒被加密。

一般網友請將自己的電腦設定成是透過路由器、NAT或防火牆上網,可以避免很多被直接攻擊的問題。

#139也開始攻擊了
#445還是主流
#中毒的殭屍設備數量沒有降低的趨勢

@445的攻擊記錄
@139的攻擊記錄

老媽,母親節我沒回家去是對的! 5/13一整天都是針對445 port在攻擊啊! (WanaCrypt0r 2.0 大規模攻擊漏洞)

原本今天一早想再去新竹一趟,但看臉書、K島、 LG的群組都在討論WanaCrypt0r 2.0,而且很明顯的不是使用者誤點連結或誤開檔案造成的病毒執行。後來一看,竟然是針對網路芳鄰的漏洞作最高權限的直接攻擊,那也就表示連上網也會被掃描測試入侵跟執行。現實真的比電影的駭客還誇張!

公司還有幾台xp甚至Win 2000, server還是2003版的。完蛋,這些老舊系統,微軟早已經停止安全性更新的服務。而且這些電腦還有一個特徵,就是只要一開windows update,電腦幾乎像是當機一樣,CPU 100%都是在跑更新,跑的時間又幾乎是半天以上,讓員工根本無法作事。

而且我一直想關掉公司的網路芳鄰功能,想改成網頁版上傳,但卡在女性的反對太強。沒法關網路芳鄰功能,所以這漏洞對於我公司是一大威脅!(經過這次我真的有理由可以換新的NAS跟限制只能使用網頁上傳功能了!)

所以一早五點起床,就開始遠端連線到公司的Fortigate防火牆跟ascenlink作雙重的防火牆設定。並直接先關掉file server的windows分享功能。整個台北公司就只有我進入系統上網。

Router? 我系統太新,Router系統介面進都進不了,而且主要功能都被Fortigate防火牆跟ascenlink搶走了,其只有單純的gateway功能。如果能進的話,445 port直接關掉就好了!

約早上七點時,確定是針對SMBv1網路芳鄰的功能在攻擊,約八點確認攻擊系統漏洞是 445 port, 但還不知道是TCP還是UDP,沒關係,兩個防火牆全封! 我就連139 port也封!

並發出郵件通知大家要小心,下午微軟宣布Win XP SP3 跟Server 2003的修正檔,我也緊急發信通知星期一早上暫停上網,需等到確認都有安裝過修正檔後,才一併開啟上網功能。

但內部網路如果有開啟網路芳鄰,且電腦又沒有更新SMBv1漏洞,那還是會透過網路芳鄰傳送病毒的。 所以只好先斷掉所有對外連線,並一台一台安裝好更新之後,再讓員工上網。

微軟提供的XP、2003、VISTA、win 8的KB4012598修正檔連結

星期一一早有得忙的!

結果單單一天5/13而已,就記錄到下表超多的TCP@445攻擊! 老媽,母親節我沒回家去是對的! 不然我可能只能做到這個月。

所以其實只要ISP設定有發給TCP@445的封包全部攔截,這病毒至少可以大範圍的控制下來。

2017-05-14_000722
WanaCrypt0r 2.0 大規模攻擊TCP@445 漏洞
2017-05-14_002506
WanaCrypt0r 2.0 大規模攻擊TCP@445 漏洞

這漏洞是微軟搞的,攻擊工具是美國政府開發的,全世界應該將所有損失帳單寄到美國微軟要求賠款!