有關最近勒索病毒的問題，目前建議大家若還沒有被侵入且沒有立即要更新，那就先關閉 Webmail 功能。

Arnor · 究極の素還尊 註冊時間: 2001-11-07 文章: 13017 來自: TAIWAN

有關最近勒索病毒的問題，目前建議大家若還沒有被侵入且沒有立即要更新，那就先關閉 Webmail 功能。

目前Webmail驗證會再加強，並鎖定在SQL Injection 方面修正各資料進來時是否有不允許字元，可能是利用 access 來進行的病毒行為。

等這兩天新版 4.7 釋出，建議都更新到 4.7 版去防止 SQL injection，還會再繼續追看看可以改進的地方。

還有兩個建議:
1. 駭客能夠在短時間知道雷電MAILD的用戶有哪些，應該是利用搜尋引擎搜尋到的，所以建議大家檢查 \templates\login.html ，在 <head> 之下最好有
<meta name="robots" content="noindex">
來讓搜尋引擎不要對你 webmail 做索引。

2. 目前從接獲的回報，只有卡巴能自動辨識此勒索病毒。(Windows Defender, 小紅傘, NOD32 目前還不行。)
小弟猜測是透過 SQL Injection 去更改檔案 Indexer.exe 把它變成病毒程式，駭客再從 Webmail 更改密碼成功後登入 Webmail 去製作索引(就是執行 Indexer.exe) 來執行病毒的動作或直接就從 mdb 執行外部程式 Indexer.exe，如果 access 真能這樣做，那麼請多多確認您的 RaidenMAILD 目錄下的執行檔都是從更新檔來的，不過，若真能這樣做，那表示只要防毒軟體沒作用，那麼系統中的任一個 exe 檔都有可能被竄改，並不僅限於 RaidenMAILD 旗下的檔案。

這些是目前的心得，給各位參考。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

smcwir · 一級 註冊時間: 2016-05-31 文章: 2 來自: TAIWAN

研判流程…參考
．登入WebMail
．寄信至WebMail，開啟附件，改URL存入../../../Indexer.exe←可查目錄\Inboxes\User\-temp-\*.NAME
．RaidenMailD搜尋動作呼叫Indexer.exe，達到伺服器端執行木馬程式

Arnor · 發表於: 星期六七月 09, 2022 3:31 pm 文章標題:

Arnor · 發表於: 星期六七月 09, 2022 5:58 pm 文章標題:

新版已經釋出。
麻煩各位更新成 4.7。
造成不便，請多包涵。

事情不一定結束，小弟會持續觀察。
駭客手段高超，抓 bug 一流，是福不是禍，是禍躲不過，沒有駭客的砥勵，我永遠都不知道有這些個漏洞。

大家有什麼須要幫助的僅管來信告知，遠端協助都成(使用軟體為 Anydesk)，約個時間就可進行，不收費用。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

tsengmbk · 一級 註冊時間: 2015-07-14 文章: 7 來自: TAIWAN

請問個回復問題
因每天都有備份RaidenMAILD 目錄
有無方法知道當天備份是乾淨的?
因為要回復RaidenMAILD 目錄不知道挑那一天回復

Arnor · 發表於: 星期六七月 09, 2022 8:15 pm 文章標題:

Arnor · 發表於: 星期六七月 09, 2022 10:21 pm 文章標題:

目前唯一知道偵測得了勒索病毒的就只有卡巴。
以後卡巴就是我的第一選擇了。
(感謝用戶提供截圖)

_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

licheer · 一級 註冊時間: 2013-12-16 文章: 38 來自: TAIWAN

請問更新到4.7之後
需要重灌Win10嗎?
被加密的RaidenServer資料夾,我只先改名成RaidenServer.0708,還沒刪除

Arnor · 發表於: 星期日七月 10, 2022 7:53 am 文章標題:

Arnor · 發表於: 星期日七月 10, 2022 9:08 am 文章標題:

今早的新發現，由於安裝程式本來就是設置輔助程式是以新蓋舊，所以建議大家在進行完整覆蓋前，麻煩到 RaidenMAILD 目錄，把這目錄底下的 .exe 全都殺個精光，再進行完整安裝版覆蓋安裝。

這點很重要，目前已知的會被竄改檔案有可能是 Indexer.exe ，SpamlistMaker.exe，MultiPOP.exe，timeout.exe 這幾支程式。

所以麻煩各位趕緊去檢查 RaidenMAILD 目錄內的所有執行檔，
除了 RaidenMAILD.exe , MAILDService.exe 之外，
其它執行檔日期都不會是 2022 年 7 月的檔案，請各位再注意這點，
今早會重新包裝安裝程式，讓所有執行檔都會是無條件覆蓋，
在這篇 POST 前已完成完整覆蓋的，可以下載
https://www.raidenmaild.com/download/RaidenMAILD_v4_cht_update.zip

把裡頭的 .exe 都可以蓋掉您原本目錄裡的。

還有個發現，有中毒的用戶，請問您們的 Webmail 是不是 80 或 443 port ，亦或是預設的 81 port?
有人Webmail 設特定埠號遭到盯上侵入的嗎?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

licheer · 一級 註冊時間: 2013-12-16 文章: 38 來自: TAIWAN

Arnor · 發表於: 星期日七月 10, 2022 12:56 pm 文章標題:

licheer · 一級 註冊時間: 2013-12-16 文章: 38 來自: TAIWAN

發現calc.exe,被放在:
C:\RaidenServer\RaidenMAILD\Inboxes
只有卡巴掃到

檔案時間剛好在07/02第一次被改密碼後沒幾秒

[2022/7/2 上午 06:09:10] 185.65.135.178 收到 rody 的變更密碼要求, 變更密碼成功
[2022/7/2 上午 06:09:11] rody 從 185.65.135.178 登入 WEBMAIL 服務

[2022/7/8 上午 01:17:14] 185.65.135.168 收到 rody 的變更密碼要求, 變更密碼成功
[2022/7/8 上午 01:17:15] rody 從 185.65.135.168 登入 WEBMAIL 服務

Arnor · 發表於: 星期日七月 10, 2022 3:41 pm 文章標題:

是的，它就是想去蓋系統的計算機這隻程式，好險蓋到奇怪路徑去了，這邊沒人會去啟動它，正是此地無銀三百兩。

4.7 版已經針對檔名路徑做了修正，不會再有這種問題了。
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

licheer · 一級 註冊時間: 2013-12-16 文章: 38 來自: TAIWAN

加密的資料夾中,另外發現這兩個檔案,檔案時間也是07/02
C:\RaidenServer\RaidenMAILD
ZipDllOrg.dll
ZipDll.dll

但是這個檔被刪掉
Indexer.exe

這三個檔沒變動
spamlistmaker.exe, timeout.exe, MultiPOP.exe