关于 WannaCrypt

今天在 VM 里面搞了一下看见这个 VAC 弹框分享给大家瞅瞅 x

hjc4869

2017-05-13 22:53:56 +08:00

删光你的 vss 备份，系统备份，并且禁用 startup repair

n6DD1A640

2017-05-13 23:51:59 +08:00

既然有 UAC，为什么还那么多人中招。。。都是无脑点确认的？

wevsty

2017-05-13 23:56:44 +08:00

@n6DD1A640 国内大部分都是直接关闭 UAC 的。。

lfk0000

2017-05-14 00:03:41 +08:00

看了这个就安心了...
补丁安装出错每次重启都要回滚，就一直没装更新......抽空重装 1703...

uxstone

2017-05-14 08:06:24 +08:00

@n6DD1A640 XP 还普遍存在

ouqihang

2017-05-14 09:35:23 +08:00

你试试隐藏详细信息还能看到那堆长长的指令？ Win10 默认就没展开详细信息，每次手动展开了下次又是隐藏的，一般看到蓝色程序又是 cmd 都直接放。Win 还要完善，比如加入显示是哪个程序发起这个指令的。看到这个也感叹这个病毒还是聪明，自己不申请权限干，调用系统信任的程序。

leeg810312

2017-05-14 09:41:50 +08:00

Windows 安全机制都做了，补丁也定期更新，自己不用，怪 windows 不安全

wusibacg

2017-05-14 09:44:12 +08:00

那。。win7 的 UAC 怎么样才能默认在弹窗时显示详细呢?

pigzilla

2017-05-14 10:02:25 +08:00

@ouqihang #6 看到是 cmd 就放松警惕？你完全搞错了好吗，看到 cmd 了就一定要仔细看清楚才对。我用电脑这么多年印象中就没见过 cmd 申请 UAC 的。

opnb

2017-05-14 10:07:12 +08:00

这病毒正常情况下应该是在 SYSTEM 权限运行的
你双击当然问 UAC 了

ouqihang

2017-05-14 10:39:57 +08:00

刚刚翻卡巴推特找到了病毒爆发时的分析报告，楼主应该感兴趣
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

acess

2017-05-14 13:08:57 +08:00

@opnb 正解。
亲测双击弹 UAC，但 TCP 445 端口传染时，受害机器 UAC 开到顶也不会弹。

acess

2017-05-14 13:09:31 +08:00

@ouqihang 我觉得卡巴的分析好像不太严谨，SMBv1 都打成 SMBv2 了……

chocolatesir

2017-05-15 08:40:51 +08:00

@pigzilla win10 下会的。有一个需要申请的。

pigzilla

2017-05-15 09:54:53 +08:00

@chocolatesir #14 我想你根本没看懂。。。

不是这个病毒会不会申请 UAC，而是常见的“正常”程序不会是用 cmd 来申请权限（我知道有，但很少）。所以我回复的那位仁兄那种“看到是 cmd 所以就放心了”的心态很无语。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/361158

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.