我这是不是被wannaren攻击了啊
火绒的拦截日志显示有多次 Svchost.exe -dnscache 也就是 DNS Client 访问 img.vim-cn.com 这个网站的记录,这网站是个 CLI Image Pastebin贴上火绒分析 wannaren 的帖子 https://www.52pojie.cn/thread-1151815-1-1.html
通过“匿影”病毒传播脚本 那里的url就是这个网站
平时裸奔,这次看贴吧说这病毒会主动上门就开了火绒,没想到7号和今天就有2次访问记录,扫了下关键位置都没什么问题,找了下“匿影”病毒的可能在几个位置也正常,接下来该关机拿WD扫全盘吗 感觉很可能中招了 我看了下我七号也有这个记录。 WannaRen勒索病毒作者主动提供解密密钥 所以到底這是利用了哪個漏洞? 我也发现了有访问这个地址,然后看了下是因为用迅游的加速器。感觉可以去问问什么情况了。 国内下载站提供的开源编辑器被发现捆绑了恶意代码安全公司报告,国内下载站西西软件园提供的开源编辑器 Notepad++ 被发现捆绑了恶意代码,而这个恶意脚本代码与勒索软件 WannaRen 有关联,该勒索软件可能通过国内下载站进行传播。在中文搜索引擎百度搜索 Notepad++,排在前几位的都是下载站,而不是官网 notepad-plus-plus.org,如果下载站的版本存在恶意代码,那么可能会有很多中国用户受到影响。Mediahttps://www.solidot.org/story?sid=64075 gofbayrf 发表于 2020-4-9 15:53
所以到底這是利用了哪個漏洞?
永恒之蓝,加了个powershell下载器
—— 来自 samsung SM-G9650, Android 10上的 S1Next-鹅版 v2.2.2.1 勇者护手 发表于 2020-4-10 09:41
国内下载站提供的开源编辑器被发现捆绑了恶意代码安全公司报告,国内下载站西西软件园提供的开源编辑器 N ...
我的Notepad++是从官网上下载的,不过中途软件提示更新让我更新了一次,这个升级包有没有可能来自国内网站?
我现在软件都是从官网上下载的,除非遇到比较古早在外网已经找不到下载或是特殊的软件否则一般不会从国内下载站上下载,多年前我就不信任这些网站了。 nanoka111 发表于 2020-4-10 11:31
我的Notepad++是从官网上下载的,不过中途软件提示更新让我更新了一次,这个升级包有没有可能来自国内网 ...
西西软件园的KMS也被绑了,西西软件园的KMS也被绑了,回忆下最近有没有在国内软件站(特别是西西)下过没有官网的东西可能会有用 https://www.mpyit.com/wannarenkey.html
病毒作者可能是发现没人服软,自己提供了解密密钥。 没装杀毒软件的有点慌,除了全盘扫描有什么方法可以自查一下的吗? 我都发了链接,为什么还会慌啊…… 火绒在哪里看日志啊? 虽然作者怂了但是还是觉得不太踏实 pgain2004 发表于 2020-4-10 14:46
https://www.mpyit.com/wannarenkey.html
病毒作者可能是发现没人服软,自己提供了解密密钥。 ...
是这个憨批没擦干净屁股怕网警上门
—— 来自 Xiaomi MI 6, Android 9上的 S1Next-鹅版 v2.2.2.1 fireandstar 发表于 2020-4-10 13:13
西西软件园的KMS也被绑了,西西软件园的KMS也被绑了,回忆下最近有没有在国内软件站(特别是西西)下过没有 ...
额 我这周可能下载了kms和.net 包 如何确认自己有没有中呢?应该扫什么文件? win8 发表于 2020-4-11 07:45
额 我这周可能下载了kms和.net 包 如何确认自己有没有中呢?应该扫什么文件? ...
http://blog.nsfocus.net/wannaren-report-0409/
按照这个链接里说明的文件位置排查下看看
页:
[1]