RSS 訂閱
最新消息
May
23
2017-05-23 WannaCry一鍵解密
發佈人 Pinky Lee on 23 May 2017 12:46 PM

WannaCry 勒索病毒在全世界橫行霸道,雖然已經有人推測作者實際收到的贖金並不多,但是受到 WannaCry 病毒加密的檔案傷害仍然存在。不過有好消息了!一名歐洲的資安研究員 Adrien Guinet 發現 WannaCry 在運作過程會將產生金鑰用的質數遺留在記憶體中,因此若該記憶體區塊尚未被覆蓋,就可以透過截取到質數產生出同樣的金鑰,就可以使用該金鑰對已被加密的檔案進行解密。

 

這是如何達成的?

該名資安研究員發現 WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密,但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除,因此給了解密程式可以取得質數的機會。

 

終極解密工具:WanaKiwi

而目前已經有專家 Benjamin Delpy 利用這個原理製作出名為「WanaKiwi」的解密工具,只要執行 WanaKiwi 提供的執行檔,就可以將所有被 WannaCry加密的檔案解密還原。

!注意!

  • 此程式不保證任何風險,如果有非常重要的檔案被加密,請務必謹慎考慮使用此工具
  • 此程式需要在記憶體中搜尋所需資訊,使用前請勿重開機、關閉電腦
  • 如果存放質數的記憶體區塊已被覆蓋則無法產生解密金鑰

目前 WannaKiki 解密工具已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作,Windows Vista、2008 及 2008 R2 利用此原理同樣可完成 (但尚未確認)。

 

Step1. 下載 WannaKiwi 解密程式

image

 

Step 2. 解壓縮並執行 wanakiwi.exe

WanaKiwi 會自動從尋找並產生 WannaCry 加密所使用的金鑰。

image

 

Step 3. 祈求老天保佑記憶體還沒被覆蓋!

如果記憶體尚未被覆蓋,WanaKiwi 在產生金鑰後就會開始進行檔案解密的工作,你不需要再進行任何動作,只要靜待 WanaKiwi  完成解密工作即可!

各版本作業系統解密畫面大公開

Windows XP

Windows 7

 

參考來源:https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm

 

 


繼續閱讀 »



May
15
2017-05-15 Windows 新型勒索病毒應急防範措施
發佈人 Stacy Huang on 15 May 2017 07:22 PM

通知:

近期,新型勒索病毒 “ WannaCry ”及其變種集中爆發。提醒您:

全面清查企業相關係統和終端,確認是否感染病毒,請盡快做好病毒應急防範工作,如:

採取關閉445等不必要服務端口,並且更新安全補丁等防範措施。

最重要的是,

對於 “ 未確定感染病毒的目標終端與服務器(windows系統) 的重要文件備份”,

以降低病毒感染後的損失及減少後續處理工作。

 

以下為關閉445通訊埠的參考步驟

1. 控制台 --> 系統及安全 --> 選擇「Windows防火牆」--> 點選左方「進階設定」。

2. 於「輸入規則」點選右鍵選擇「新增規則(N)…」。

3. 選擇建立「連接埠(O)」的規則,並輸入要關閉的445,務必使用半型輸入。

4. 選擇「封鎖連線」,並建議於所有網路環境套用規則。

5. 針對規則命名,建議名稱可與事件或規則內容有關,避免忘記其用途,
    例如:TrendMicro_WCRY_445_Block。

 

參考來源:

https://udn.com/news/story/11124/2462958

https://blog.trendmicro.com.tw/?p=49672#more-49672


謝謝您的支持與配合

Support Team
翔傲 筋斗雲


繼續閱讀 »



May
5

一、漏洞情況分析

於2017年4月14日Shadow Brokers泄露出一份機密文檔密碼為Reeeeeeeeeeeeeee其壓縮中包含了多個危害極大的 Windows 遠程漏洞利用工具,可以覆蓋全球絕大多數的 Windows 系統,只要 Windows 服務器開了135、445、3389 其中的埠之一,有很大概率可以直接被攻擊,目前Windows服務器幾乎全線暴露在危險之中,任何人都可以直接下載並遠程攻擊利用。

 

二、漏洞影響範圍

Windows NT

Windows 2000

Windows XP

Windows 2003

Windows Vista

Windows 7

Windows 8

Windows 2008

Windows 2008 R2

Windows Server 2012 SP0

 

三、防護建議

微軟公司目前已發布該漏洞的補丁,鑒於該漏洞廣泛存在於Windows所有版本,且目前被用於發起網路攻擊,強烈建議Windows用戶及時關註官方補丁發布情況並及時更新。

 

其他臨時防護建議:

使用防火牆過濾/關閉 137、139、445埠
關閉3389服務或者關閉智能卡登錄功能

 

參考來源:http://blog.topsec.com.cn/ad_lab/%E6%96%B9%E7%A8%8B%E5%BC%8F%E6%9C%80%E6%96%B0windows%E8%BF%9C%E7%A8%8B%E6%94%BB%E5%87%BB0day%E6%BC%8F%E6%B4%9E%E5%A8%81%E8%83%81%E9%A2%84%E8%AD%A6/


繼續閱讀 »



Mar
14
2017-03-15 臺灣機房緊急維護通知
發佈人 Evita Lin on 14 March 2017 05:43 PM

台灣機房服務作業維護通知

 

作 業 主 旨:

配合上游業者機房設備緊急維護作業

 

作 業 時 間:

2017/03/15(三) 00:00 ~ 2017/03/15(三) 06:00 (GMT+8) 

 

預 計 影 響 時 間:

2017/03/15(三) 00:00 ~ 2017/03/15(三) 06:00 (GMT+8) 

 

備 註:

於作業期間,網路連線會有數次短暫瞬斷的情況,每次不超過1分鐘。

 

謝謝您的支持與配合

 

Support Team
翔傲 筋斗雲


繼續閱讀 »



Feb
16
2017-02-22 台灣機房服務作業維護通知
發佈人 Pinky Lee on 16 February 2017 11:36 AM

台灣機房服務作業維護通知

 

作 業 主 旨:配合上游業者機房設備更換作業

 

作 業 時 間:2017/02/12(三) 00:00 ~ 2017/02/22(三) 06:00 (GMT+8) 

 

預 計 影 響 時 間:2017/02/12(三) 00:00 ~ 2017/02/22(三) 06:00 (GMT+8) 

 

備 註:於作業期間,連往連往國際的流量可能因路由收斂,會有數次短暫packet loss、緩慢或傳遞延遲的情況,每次不超過1分鐘。

 

謝謝您的支持與配合

 

Support Team
翔傲 筋斗雲


繼續閱讀 »



Feb
14
2017-02-16 台湾机房服务作业维护通知
發佈人 Stacy Huang on 14 February 2017 02:29 PM

台湾机房服务作业维护通知

 

作 业 主 旨:配合上游业者 与Google的调整作业。

 

作 业 时 间:2017/02/16(四) 04:00 ~ 2017/02/16(四) 07:50 (GMT+8)

 

预 计 影 响 时 间:2017/02/16(四) 04:00 ~ 2017/02/16(四) 07:50 (GMT+8)

 

备 注:于作业期间,连往Google服务的流量可能因路由收敛,会有短暂packet loss、缓慢或传递延迟的情况,影响不超过1分钟。

 

谢谢您的支持与配合

 

Support Team
翔傲 五域通达


繼續閱讀 »




本公司為 NCC 核照合法二類電信公司。 證號 no.5010500007
Copyright © 2016 筋斗雲 翔傲國際電訊有限公司. All Rights Reserved.