→ KevinYu0504: ESET 企業版沒有擋下? 07/19 04:23
→ KevinYu0504: 這下子身為 MIS 可真的得頭痛好段時間了 07/19 04:24
推 yangzhe: 這款也是主動式入侵的?(估狗不太到相關資訊...) 07/19 05:34
→ peter7910162: 我GOOGLE不太到相關消息,看來是蠻新的,昨天總經理 07/19 07:31
→ peter7910162: 電腦先中,結果晚上6點多被加密換我的電腦中 07/19 07:31
推 Klauhal: Win7 SMB1? 07/19 07:47
我的電腦都會固定更新作業軟體是win7 sp1
推 abramtw: Google後發現竟然只有這一篇回報這隻新病毒 07/19 08:23
慘,在這公司擔任MIS這次是第三次中勒索,每次中都不一樣
推 godchildtw: 很多企業無腦老闆認為電腦沒出什麼問題還要養MIS不值 07/19 09:14
→ godchildtw: 得,偶爾出一點小包,MIS有點事情做才會覺得有被需要 07/19 09:16
推 yangzhe: Mobile01上那篇應該也是原po回報的吧?如果是這樣,那目 07/19 09:19
→ yangzhe: 真的只有原po會報這隻病毒...(怕) 07/19 09:19
→ yangzhe: 而且2比特幣也太貴了吧 07/19 09:20
是的,mobile01那篇是我發文的
推 godchildtw: 先試試檔案救援軟體,找被刪除檔案救回看內容是否正確 07/19 09:20
無解,我試著還原點,剛好我的桌面資料都放在d槽沒有還原點可以還原....
推 david7928: 這隻要2比特幣?這麼貴一般人不會付錢吧? 07/19 09:22
放棄阿哪有可能付款
推 lovensr: 我公司是中aleta這個副檔名的勒索..... 07/19 10:20
推 abramtw: 會不會是你們內部員工寫的 07/19 10:52
→ abramtw: 只勒索一家公司 怎麼想都很怪 07/19 10:53
應該不太可能,mobile01有位網友回報
推 yangzhe: Aleta的話是今年7月初開始的,對岸滿多機關中招 07/19 10:57
推 Joba07: 請問中獎的電腦共同特徵是?Win7 smb1開啓? 07/19 11:03
我公司常用檔案分享,所以應該是有開
推 chang0206: 中三次勒索病毒? 07/19 11:11
YES
做一個總結
剛剛打電話詢問防毒軟體廠商
第一次偵測到是在下午5:40分被偵測,所以檔案沒有被加密
但是我的檔案備加密是在下午6:35分左右被加密
代表勒索病又變種可以躲過nod32偵測,nod32沒有辦法防護
到了隔天12:36分,nod32才偵測出病毒
代表此勒索病毒是主動型攻擊型態
所以請大家注意一下!!!
推 vi000246: 防毒偵測到的是中毒完後產生的付款教學文件 07/19 11:47
是的,防毒偵測是付款說明網頁!!!
※ 編輯: peter7910162 (59.120.231.205), 07/19/2017 11:59:26
→ Kennyq: 有點規模的公司每天都會有資料備份,沒備根本是自殺 07/19 17:49
→ Kennyq: 不要說2比特幣,0.0002比特幣我都不會付 07/19 18:07
推 Joba07: 有防火牆加防毒軟體還是被攻入 是直接穿透防火牆還是網內 07/19 18:27
→ Joba07: 的電腦先有被開後門(例如總經理那台PC?) 07/19 18:28
推 NeoBelfort: 有傳id ransomware查是哪家的變種嗎? 建議未來裝 app 07/20 03:11
→ NeoBelfort: check或 comodo.卡巴有hips+防火牆的組合 07/20 03:11
推 NeoBelfort: email看起來是wallet的變種 他通常出下個變種前會釋出 07/20 03:19
→ NeoBelfort: 主鑰 能等就等 07/20 03:19
大大是變種的GlobeImposter 2.0
https://id-ransomware.malwarehunterteam.com/identify.php?case=9c5cffe9a3aa29ab452fad0fc559f74c86ce406c
※ 編輯: peter7910162 (59.120.231.205), 07/20/2017 08:44:29
推 H264: ESET看來真的不要用 感謝情報提供 07/20 16:26
推 NeoBelfort: 這種似乎不會放出主鑰 攻擊以RDP為主 釣魚漏洞為輔 所 07/20 22:56
→ NeoBelfort: 以企業很容易中 07/20 22:56
推 go1717: 0day?這價值可高了... 07/21 21:16
更新:07/22
網路查詢
此勒索是透過遠端漏洞攻擊!!!
請各位注意!!!
https://support.emsisoft.com/topic/27337-globeimposter-20-infection/
今天跟客服殺價變成1 BTC
http://i.imgur.com/a5BHBGl.png
※ 編輯: peter7910162 (122.118.143.109), 07/22/2017 20:41:13
推 coyoteY: 還能殺價~真人性化 07/22 21:26
推 abram: 看起來是至少要安裝windows的六月更新才能防範 07/23 10:05
推 nk950357: 是用什麼遠端軟體阿 07/23 15:54
推 tswu8: 原Po有定時更新,所以是email釣魚中的? 07/23 19:48
我有定期win更新,但是沒更新到六月份,這次會中獎是透過內建遠端侵入中獎!!!我很少收EMAIL的
※ 編輯: peter7910162 (122.118.142.81), 07/23/2017 21:02:10
推 tswu8: 所以是要安裝KB4022726 07/23 23:12
推 tswu8: 嗎?可是這搜尋不適用Win 7 07/24 08:46
六月份釋出更新只有一項沒更新到
推 DINJIAPC: Eset的hips是傳統手動型 規則與排除要下功夫 07/25 15:50
→ angelmask: 請問樓主怎麼確定是透過遠端入侵的? 07/25 16:21
我上網爬文一下,是說用遠端入侵的...
※ 編輯: peter7910162 (122.118.164.142), 07/26/2017 21:25:33