勒索病毒WannaCry怎么解决?
1.概述
安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。
据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[1]中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。
安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。
2.事件分析
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
2.1 本地行为
当系统被该勒索软件入侵后,弹出勒索对话框:
图 1 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
图 2 加密后的文件名
攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。
图 3 可解密数个文件
该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。
图 4 28种语言
该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件:
c:\Users\gxb\Desktop\@Please_Read_Me@.txt
c:\Users\gxb\Desktop\@WanaDecryptor@.exe
c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnry
c:\Users\gxb\Desktop\msgm_bulgarian.wnry
c:\Users\gxb\Desktop\msgm_chinese (simplified).wnry
c:\Users\gxb\Desktop\msgm_chinese (traditional).wnry
c:\Users\gxb\Desktop\msgm_croatian.wnry
c:\Users\gxb\Desktop\msgm_czech.wnry
c:\Users\gxb\Desktop\msgm_danish.wnry
c:\Users\gxb\Desktop\msgm_dutch.wnry
c:\Users\gxb\Desktop\msgm_english.wnry
c:\Users\gxb\Desktop\msgm_filipino.wnry
c:\Users\gxb\Desktop\msgm_finnish.wnry
c:\Users\gxb\Desktop\msgm_french.wnry
c:\Users\gxb\Desktop\msgm_german.wnry
c:\Users\gxb\Desktop\msgm_greek.wnry
c:\Users\gxb\Desktop\msgm_indonesian.wnry
c:\Users\gxb\Desktop\msgm_italian.wnry
c:\Users\gxb\Desktop\msgm_japanese.wnry
c:\Users\gxb\Desktop\msgm_korean.wnry
c:\Users\gxb\Desktop\msgm_latvian.wnry
c:\Users\gxb\Desktop\msgm_norwegian.wnry
c:\Users\gxb\Desktop\msgm_polish.wnry
c:\Users\gxb\Desktop\msgm_portuguese.wnry
c:\Users\gxb\Desktop\msgm_romanian.wnry
c:\Users\gxb\Desktop\msgm_russian.wnry
c:\Users\gxb\Desktop\msgm_slovak.wnry
c:\Users\gxb\Desktop\msgm_spanish.wnry
c:\Users\gxb\Desktop\msgm_swedish.wnry
c:\Users\gxb\Desktop\msgm_turkish.wnry
c:\Users\gxb\Desktop\msgm_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe
该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:
加密如下后缀名的文件:
.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG
注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。
图 6 无法找到语言配置文件
2.2 网络行为
该勒索软件执行后会生成随机IP,并自动向生成的IP发起攻击。 内网传播
3.临时解决方案
如果主机已被感染:
则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢复程序。
如果主机未被感染:
则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。
从响应效率和质量上,建议首先采用方式一进行抑制,再采用方式二进行根除。
方式一:启用蠕虫快速免疫工具
免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe
请双击运行 OnionWormImmune.exe 工具,并检查任务管理器中的状态。
方式二:针对主机进行补丁升级
请参考紧急处置工具包相关目录并安装 MS17-010 补丁,微软已经发布winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁。
微软官方下载地址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
快速下载地址:https://yunpan.cn/cXLwmvHrMF3WI powershell 访问密码:614d
方式三:关闭 445 端口相关服务
方式四:防火墙高级设置
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
依次打开控制面板,安全中心,Windows防火墙,选择启用
点击开始,运行,输入cmd,确定执行下面三条命令
net stop rdr
net stop srv
net stop netbt
由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
方式五、配置主机级 ACL 策略封堵 445 端口
通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口
勒索病毒WannaCry怎么解决?相关推荐
- 一分钟应对勒索病毒WannaCry
目录 一.WannaCry 勒索病毒 二.解决方法 三.工具与补丁下载 一.WannaCry 勒索病毒 勒索病毒WannaCry肆虐全球,利用Windows操作系统漏洞,因链式反应迅猛自动传播,校园电 ...
- 勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节
一.综述 5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞"永恒之蓝"(EternalBlue)在世界范围内爆发,据报道包括美国.英国.中国.俄罗斯.西班牙.意大利.越南 ...
- 勒索病毒WannaCry还没搞定 比它更厉害的永恒之石又来了
5月23日消息,据国外媒体报道,前不久爆发的勒索病毒WannaCry让人再度领教了黑客和病毒的厉害,而在这一病毒还未搞定的情况下,比它更厉害的病毒永恒之石(EternalRocks)又来了. 5月12 ...
- 勒索病毒WannaCry(永恒之蓝)
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://solin.blog.51cto.com/11319413/1925890 勒索病 ...
- 2017年05月13日勒索软件, 勒索病毒(WannaCry)肆虐全球, 中国安全防线严重受挫
[简介] 常用网名: 猪头三 出生日期: 1981.XX.XX 个人网站: https://www.x86asm.org QQ交流: 643439947 编程生涯: 2001年~至今[共16年] 职业 ...
- 服务器中了勒索病毒怎么办?服务器中了勒索病毒怎么处理解决?
服务器中了勒索病毒怎么办?服务器中了勒索病毒怎么处理解决? 前言:勒索病毒是一种新型的计算机病毒,并且它有多种后缀形式,像.mallox,.devos,.elbie,.eking,.eight,.86 ...
- 一分钟了解勒索病毒WannaCry(永恒之蓝)
勒索病毒WannaCry(永恒之蓝) 日前,"永恒之蓝"席卷全球,已经有90个国家遭到攻击.国内教育网是遭到攻击的重灾区.不过,在安装相对老旧版本Windows的电脑普遍遭到攻击之 ...
- 关于勒索病毒WannaCry的9个真相:小白如何防御?
1. 小白用户如何防御这个勒索病毒? 请广大用户无需过度担心,安装"火绒安全软件"即可防御这个勒索病毒,以及新出现的变种.同时,请给操作系统升级.安装补丁程序(详情见下文). 5月 ...
- 禁止“勒索病毒”攻击的解决办法
转载请注明出处:http://blog.csdn.net/dongdong9223/article/details/72179490 本文出自[我是干勾鱼的博客] 上周末开始"勒索病毒&qu ...
最新文章
- 【PHP】安装 ssh2 模块
- jzoj1267-路障【最短路,SPFA】
- 简化的插入排序 (15 分)
- VS2010安装MSDN Library
- 高性能网站建设之减少Http连接数
- Maven的安装和使用
- 【c++模板实现】二叉查找树
- jquery ajax html php区别,ajax与jquery的区别是什么
- XCTest+XCTool
- git cherry-pick 的使用
- 【51单片机】STC-ISP软件保姆级烧录教程(以普中A2开发板为例)
- 6.3 交通工具类
- Ubuntu 源(教育网,IPv6)
- 弦截法 解高次方程 C语言/C++
- Mac OS X下的动态链接库
- 第七章 MapReduce详解
- 【凸优化】关于 KKT 条件 及其最优性
- 小白入门Python Web之web开发前的准备(持续更新~)
- stm32f103c8t6+esp8266在WiFi下通过手机控制外设
- Android手机尺寸相关概念