[求救] 最新型勒索SCORP病毒(更新07/23)

作者peter7910162 (小P熊)

看板AntiVirus

標題[求救] 最新型勒索SCORP病毒(更新07/23)

時間Wed Jul 19 00:54:02 2017

剛剛遠端公司電腦想說要來辦公一些事情結果GG 中了最新沒看過的勒索SCORP病毒全都被加密了，無言了！！身為公司MIS，我看我明天有的忙了.......... http://i.imgur.com/EDYoJBQ.png

http://i.imgur.com/XAYHG8V.png

http://i.imgur.com/xTCs9ye.png

http://i.imgur.com/TebZkg4.png

----------07/19更新--------- 寫信詢問解密要多少錢結果要2 BTC http://i.imgur.com/6lujWnZ.png

防毒有偵測到卻還會中!!! http://i.imgur.com/RtDDSLh.png

----- Sent from JPTT on my Xiaomi Mi Note 2. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.118.120.56 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1500396844.A.838.html

→ KevinYu0504: ESET 企業版沒有擋下? 07/19 04:23

→ KevinYu0504: 這下子身為 MIS 可真的得頭痛好段時間了 07/19 04:24

推 yangzhe: 這款也是主動式入侵的？（估狗不太到相關資訊...） 07/19 05:34

→ peter7910162: 我GOOGLE不太到相關消息，看來是蠻新的，昨天總經理 07/19 07:31

→ peter7910162: 電腦先中，結果晚上6點多被加密換我的電腦中 07/19 07:31

推 Klauhal: Win7 SMB1? 07/19 07:47

我的電腦都會固定更新作業軟體是win7 sp1

推 abramtw: Google後發現竟然只有這一篇回報這隻新病毒 07/19 08:23

慘，在這公司擔任MIS這次是第三次中勒索，每次中都不一樣

推 godchildtw: 很多企業無腦老闆認為電腦沒出什麼問題還要養MIS不值 07/19 09:14

→ godchildtw: 得，偶爾出一點小包，MIS有點事情做才會覺得有被需要 07/19 09:16

推 yangzhe: Mobile01上那篇應該也是原po回報的吧？如果是這樣，那目 07/19 09:19

→ yangzhe: 真的只有原po會報這隻病毒...(怕) 07/19 09:19

→ yangzhe: 而且2比特幣也太貴了吧 07/19 09:20

是的，mobile01那篇是我發文的

推 godchildtw: 先試試檔案救援軟體，找被刪除檔案救回看內容是否正確 07/19 09:20

無解，我試著還原點，剛好我的桌面資料都放在d槽沒有還原點可以還原....

推 david7928: 這隻要2比特幣？這麼貴一般人不會付錢吧？ 07/19 09:22

放棄阿哪有可能付款

推 lovensr: 我公司是中aleta這個副檔名的勒索..... 07/19 10:20

推 abramtw: 會不會是你們內部員工寫的 07/19 10:52

→ abramtw: 只勒索一家公司怎麼想都很怪 07/19 10:53

應該不太可能，mobile01有位網友回報

推 yangzhe: Aleta的話是今年7月初開始的，對岸滿多機關中招 07/19 10:57

推 Joba07: 請問中獎的電腦共同特徵是？Win7 smb1開啓？ 07/19 11:03

我公司常用檔案分享，所以應該是有開

推 chang0206: 中三次勒索病毒？ 07/19 11:11

YES 做一個總結剛剛打電話詢問防毒軟體廠商第一次偵測到是在下午5:40分被偵測，所以檔案沒有被加密但是我的檔案備加密是在下午6:35分左右被加密代表勒索病又變種可以躲過nod32偵測，nod32沒有辦法防護到了隔天12:36分，nod32才偵測出病毒代表此勒索病毒是主動型攻擊型態所以請大家注意一下!!!

推 vi000246: 防毒偵測到的是中毒完後產生的付款教學文件 07/19 11:47

是的，防毒偵測是付款說明網頁!!! ※ 編輯: peter7910162 (59.120.231.205), 07/19/2017 11:59:26

→ Kennyq: 有點規模的公司每天都會有資料備份，沒備根本是自殺 07/19 17:49

→ Kennyq: 不要說2比特幣，0.0002比特幣我都不會付 07/19 18:07

推 Joba07: 有防火牆加防毒軟體還是被攻入是直接穿透防火牆還是網內 07/19 18:27

→ Joba07: 的電腦先有被開後門(例如總經理那台PC?) 07/19 18:28

推 NeoBelfort: 有傳id ransomware查是哪家的變種嗎？建議未來裝 app 07/20 03:11

→ NeoBelfort: check或 comodo.卡巴有hips+防火牆的組合 07/20 03:11

推 NeoBelfort: email看起來是wallet的變種他通常出下個變種前會釋出 07/20 03:19

→ NeoBelfort: 主鑰能等就等 07/20 03:19

大大是變種的GlobeImposter 2.0 https://id-ransomware.malwarehunterteam.com/identify.php?case=9c5cffe9a3aa29ab452fad0fc559f74c86ce406c ※ 編輯: peter7910162 (59.120.231.205), 07/20/2017 08:44:29

推 H264: ESET看來真的不要用感謝情報提供 07/20 16:26

推 NeoBelfort: 這種似乎不會放出主鑰攻擊以RDP為主釣魚漏洞為輔所 07/20 22:56

→ NeoBelfort: 以企業很容易中 07/20 22:56

推 go1717: 0day？這價值可高了... 07/21 21:16

更新:07/22 網路查詢此勒索是透過遠端漏洞攻擊!!! 請各位注意!!! https://support.emsisoft.com/topic/27337-globeimposter-20-infection/ 今天跟客服殺價變成1 BTC http://i.imgur.com/a5BHBGl.png

※ 編輯: peter7910162 (122.118.143.109), 07/22/2017 20:41:13

推 coyoteY: 還能殺價~真人性化 07/22 21:26

推 abram: 看起來是至少要安裝windows的六月更新才能防範 07/23 10:05

推 nk950357: 是用什麼遠端軟體阿 07/23 15:54

推 tswu8: 原Po有定時更新，所以是email釣魚中的？ 07/23 19:48

我有定期win更新，但是沒更新到六月份，這次會中獎是透過內建遠端侵入中獎!!!我很少收EMAIL的 ※ 編輯: peter7910162 (122.118.142.81), 07/23/2017 21:02:10

推 tswu8: 所以是要安裝KB4022726 07/23 23:12

推 tswu8: 嗎？可是這搜尋不適用Win 7 07/24 08:46

六月份釋出更新只有一項沒更新到

推 DINJIAPC: Eset的hips是傳統手動型規則與排除要下功夫 07/25 15:50

→ angelmask: 請問樓主怎麼確定是透過遠端入侵的? 07/25 16:21

我上網爬文一下，是說用遠端入侵的... ※ 編輯: peter7910162 (122.118.164.142), 07/26/2017 21:25:33