切换到窄版

 找回密码
 立即注册
搜索
Stage1st»论坛 主论坛 PC数码 我这是不是被wannaren攻击了啊
返回列表 发新帖
查看: 4398|回复: 18

[网络] 我这是不是被wannaren攻击了啊

[复制链接]
Midnight.Coup
     
发表于 2020-4-9 13:40 | 显示全部楼层 |阅读模式
火绒的拦截日志显示有多次 Svchost.exe -dnscache 也就是 DNS Client 访问 img.vim-cn.com 这个网站的记录,这网站是个 CLI Image Pastebin
贴上火绒分析 wannaren 的帖子 https://www.52pojie.cn/thread-1151815-1-1.html
通过“匿影”病毒传播脚本 那里的url就是这个网站
平时裸奔,这次看贴吧说这病毒会主动上门就开了火绒,没想到7号和今天就有2次访问记录,扫了下关键位置都没什么问题,找了下“匿影”病毒的可能在几个位置也正常,接下来该关机拿WD扫全盘吗
回复

使用道具 举报

一百三十万颗星
     
发表于 2020-4-9 15:31 | 显示全部楼层
感觉很可能中招了
回复

使用道具 举报

yikka
     
发表于 2020-4-9 15:42 | 显示全部楼层
我看了下我七号也有这个记录。
回复

使用道具 举报

Chunuou
     
发表于 2020-4-9 15:46 | 显示全部楼层
WannaRen勒索病毒作者主动提供解密密钥
回复

使用道具 举报

gofbayrf
发表于 2020-4-9 15:53 | 显示全部楼层
所以到底這是利用了哪個漏洞?
回复

使用道具 举报

foxlxr
发表于 2020-4-10 08:55 来自手机 | 显示全部楼层
我也发现了有访问这个地址,然后看了下是因为用迅游的加速器。感觉可以去问问什么情况了。
回复

使用道具 举报

勇者护手
     
发表于 2020-4-10 09:41 来自手机 | 显示全部楼层
国内下载站提供的开源编辑器被发现捆绑了恶意代码  安全公司报告,国内下载站西西软件园提供的开源编辑器 Notepad++ 被发现捆绑了恶意代码,而这个恶意脚本代码与勒索软件 WannaRen 有关联,该勒索软件可能通过国内下载站进行传播。在中文搜索引擎百度搜索 Notepad++,排在前几位的都是下载站,而不是官网 notepad-plus-plus.org,如果下载站的版本存在恶意代码,那么可能会有很多中国用户受到影响。Media  https://www.solidot.org/story?sid=64075
回复

使用道具 举报

navarra
     
发表于 2020-4-10 09:59 来自手机 | 显示全部楼层
gofbayrf 发表于 2020-4-9 15:53
所以到底這是利用了哪個漏洞?

永恒之蓝,加了个powershell下载器

—— 来自 samsung SM-G9650, Android 10上的 S1Next-鹅版 v2.2.2.1
回复

使用道具 举报

小妻水亚美
     
发表于 2020-4-10 10:39 来自手机 | 显示全部楼层
主要的问题是 很多国外的软件 不挂代理或者加速 官网直连下载速度太慢了  
我电信这边 yandex浏览器 内部更新基本上没成功过 全是下载软件到官网拖之后 覆盖安装。

—— 来自 motorola XT1929-15, Android 8.1.0上的 S1Next-鹅版 v2.1.2
回复

使用道具 举报

nanoka111
     
发表于 2020-4-10 11:31 | 显示全部楼层
勇者护手 发表于 2020-4-10 09:41
国内下载站提供的开源编辑器被发现捆绑了恶意代码  安全公司报告,国内下载站西西软件园提供的开源编辑器 N ...

我的Notepad++是从官网上下载的,不过中途软件提示更新让我更新了一次,这个升级包有没有可能来自国内网站?
我现在软件都是从官网上下载的,除非遇到比较古早在外网已经找不到下载或是特殊的软件否则一般不会从国内下载站上下载,多年前我就不信任这些网站了。
回复

使用道具 举报

fireandstar
发表于 2020-4-10 13:13 来自手机 | 显示全部楼层
nanoka111 发表于 2020-4-10 11:31
我的Notepad++是从官网上下载的,不过中途软件提示更新让我更新了一次,这个升级包有没有可能来自国内网 ...

西西软件园的KMS也被绑了,西西软件园的KMS也被绑了,回忆下最近有没有在国内软件站(特别是西西)下过没有官网的东西可能会有用
回复

使用道具 举报

pgain2004
     
发表于 2020-4-10 14:46 来自手机 | 显示全部楼层
https://www.mpyit.com/wannarenkey.html
病毒作者可能是发现没人服软,自己提供了解密密钥。
回复

使用道具 举报

p2h
发表于 2020-4-10 20:16 来自手机 | 显示全部楼层
没装杀毒软件的有点慌,除了全盘扫描有什么方法可以自查一下的吗?
回复

使用道具 举报

pgain2004
     
发表于 2020-4-10 21:54 来自手机 | 显示全部楼层
我都发了链接,为什么还会慌啊……
回复

使用道具 举报

月亮上的珊瑚
     
发表于 2020-4-10 22:05 来自手机 | 显示全部楼层
火绒在哪里看日志啊?
回复

使用道具 举报

p2h
发表于 2020-4-10 23:48 | 显示全部楼层
虽然作者怂了但是还是觉得不太踏实
回复

使用道具 举报

qwased
     
发表于 2020-4-11 02:04 来自手机 | 显示全部楼层
pgain2004 发表于 2020-4-10 14:46
https://www.mpyit.com/wannarenkey.html
病毒作者可能是发现没人服软,自己提供了解密密钥。 ...

是这个憨批没擦干净屁股怕网警上门

—— 来自 Xiaomi MI 6, Android 9上的 S1Next-鹅版 v2.2.2.1
回复

使用道具 举报

win8
     
发表于 2020-4-11 07:45 来自手机 | 显示全部楼层
fireandstar 发表于 2020-4-10 13:13
西西软件园的KMS也被绑了,西西软件园的KMS也被绑了,回忆下最近有没有在国内软件站(特别是西西)下过没有 ...

额 我这周可能下载了kms和.net 包   如何确认自己有没有中呢?应该扫什么文件?
回复

使用道具 举报

fireandstar
发表于 2020-4-11 11:23 来自手机 | 显示全部楼层
win8 发表于 2020-4-11 07:45
额 我这周可能下载了kms和.net 包   如何确认自己有没有中呢?应该扫什么文件? ...

http://blog.nsfocus.net/wannaren-report-0409/
按照这个链接里说明的文件位置排查下看看
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-12 23:13 , Processed in 0.077227 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表