敲安全戒备

1 概述

     WannaCry(又叫Wanna
Decryptor),一栽“蠕虫式”的敲病毒软件,大小3.3MB,由不法分子以NSA(National
Security
Agency,美国国家安全局)泄露的险恶漏洞“EternalBlue”(永恒的蓝)进行传播。该恶意软件会扫描电脑上的TCP
445端口(Server Message
Block/SMB),以接近于蠕虫病毒之法传播,攻击主机并加密主机上囤积的公文,然后要求为比特币的形式开发赎金。勒索金额也300顶600美元。2017年5月14日,WannaCry
勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch
传播速度或更快。截止2017年5月15日,WannaCry造成至少发生150独邦吃网络攻击,已经影响到经济,能源,医疗等行业,造成深重的危机管理问题。中国一些Windows用户被感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
     
目前,安全业界暂未能有效祛除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad
Smith称,美国国安全局未披露更多之安全漏洞,给了犯罪集团可乘之机,最终带动了及时同样坏攻击了150个邦的敲诈病毒。

2 分析

2.1 病毒概况

2017年4月16日,CNCERT主办的CNVD发布《关于提高警备Windows操作系统和有关软件漏洞攻击风险的图景公告》,对影子纪经人“Shadow
Brokers”披露的多款涉及Windows操作系统SMB服务之纰漏攻击工具情况进行了通知(相关工具列表如下),并针对性生或有的宽泛攻击进行了预警:

w88win优德手机版 1

当用户主机系统于欠勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并通往用户要比特币。而于用户主机及之重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎有种类的文书,都为加密的文本后缀名被联合修改也“.WNCRY”。目前,安全业界暂不能有效祛除该勒索软的黑心加密行为,用户主机一旦让勒索软件渗透,只能通过重装操作系统的章程来消除勒索行为,但用户要数据文件未可知一直过来。

w88win优德手机版 2

WannaCry主要采取了微软“视窗”系统的漏洞,以博自行传播的力,能够以反复小时外感染一个网内的整个电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下放出一个压缩包,此压缩包会在内存中经密码:WNcry@2ol7解密并释放文件。这些文件包含了延续弹出勒索框的exe,桌面背景图片的bmp,包含各级语言的勒索字体,还有助攻击的简单只exe文件。这些文件会放到了本地目录,并设置也隐蔽。(#注:说明一下,“永恒的蓝”是NSA泄露的狐狸尾巴以工具的名号,并无是拖欠病毒之称号#。永恒的蓝”是依靠NSA泄露的危漏洞“EternalBlue”,此次的讹病毒WannaCry是动该漏洞进行传播之,当然还可能出另病毒也经过“永恒之蓝”这个漏洞传播,因此深受系统打补丁是须的。)

2017年5月12日,WannaCry蠕虫通过MS17-010尾巴以世界限量非常爆发,感染了大气之微机,该蠕虫感染电脑后会见往电脑被植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑为黑客锁定后,病毒会唤起支付价值相当给300美元(约合人民币2069处女)的于特币才不过解锁。

2017年5月13日夜晚,由同称英国研究员于无意间发现的WannaCry隐藏开关(Kill
Switch)域名,意外的遏制了病毒之越来越广泛扩散。

2017年5月14日,监测发现,WannaCry 勒索病毒出现了变种:WannaCry 2.0,
与事先版本的不等是,这个变种取消了Kill
Switch,不能够经过挂号某个域名来关闭变种勒索病毒的流传,该变种传播速度可能会见重快。请广大网民尽快提升安装Windows操作系统相关补丁,已感染病毒机器要立即断网,避免进一步扩散感染。

2.2  攻击特点

WannaCry以Windows操作系统445端口在的尾巴进行传播,并持有自身复制、主动传播的特性。

被欠勒索软件入侵后,用户主机系统外的照、图片、文档、音频、视频等几有种类的公文还以吃加密,加密文件之晚缀名被统一修改为.WNCRY,并会见当桌面弹来讹对话框,要求被害人支付价值数百美元的比较特币到攻击者的比较特币钱包,且赎金金额还会见趁机日之延而多

2.3  攻击型

常用之Office文件(扩展名吧.ppt、.doc、.docx、.xlsx、.sxi)

连无常用,但是一些特定国家采取的office文件格式(.sxw、.odt、.hwp)

减去文档和媒体文件(.zip、.rar、.tar、.mp4、.mkv)

电子邮件和邮件数据库(.eml、.msg、.ost、.pst、.deb)

数据库文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)

开发者使用的源代码和路文件(.php、.java、.cpp、.pas、.asm)

密匙和证书(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)

美术设计人员、艺术家以及摄影师用的公文(.vsd、.odg、.raw、.nef、.svg、.psd)

虚拟机文件(.vmx、.vmdk、.vdi)

 2.4  调查处理

欧洲公安局正在同美国联邦调查局(FBI)合作开展调查。英国国家犯罪局正在跟欧洲刑警组织跟英国政府通信总部(GCHQ)的国网络安全基本开展合作,追踪犯罪者。

则下黑手者目前还摸索不顶,但该所用底家伙,却明确正确地针对了一个机构——NSA(National
Security
Agency),美国国安全局。这同一单位以如国家保密局,隶属于美国国防部,是美国政府机构遭到极度要命的情报部门,专门负责采集及剖析外国与我国通讯资料。黑客所使用的“永恒之蓝”,就是NSA针对微软MS17-010漏洞所出之网络武器。

NSA本身手里握有大量支好的网武器,但以2013年6月,“永恒之蓝”等十几独铁为黑客团队“影子经纪人”(ShadowBreakers)窃取。

2017年3月,微软已经释放针对当下等同破绽的补丁,但是同凡由局部用户没有这打补丁的惯,二是海内外仍然发生很多用户在采取已经终止更新服务之WindowsXP等比较逊色版本,无法获得补丁,因此在天下造成非常范围传播。加上“蠕虫”不断扫描的性状,很易就在列国互联网和校园、企业、政府机构的内网不间断进行再次感染

2.5  涉及范围

(1)WannaCry国内

2017年5月12日晚,中国次大陆有高校学生反映电脑为病毒攻击,文档被加密。病毒疑似通过校园网传。随后,山东大学、南昌大学、广西师范大学、东北财经大学相当十几家高校发布通告,提醒师生注意防护。除了教育网、校园网外,新浪微博上不少用户反映,北京、上海、江苏、天津当多地之出入境、派出所等公安网也疑似被了病毒侵袭。

受到石油所属部分加油站运行面临波及。5月13日,包括首都、上海、杭州、重庆、成都暨南京当多地遭遇石油旗下加油站在当天凌晨猝断网,因断网无法刷银行卡与下网络开支,只能动用现金,加油站加油业务正常运转。

直到14日10时30分,国家互联网应急中心已监测及横242.3万单IP地址被“永恒的蓝”漏洞攻击;被拖欠勒索软件感染的IP地址数据接近3.5万个,其中中国国内IP约1.8万单。

2017年5月15日,珠海市公积金中心发出了《关于5月15日顿办理住房公积金业务的紧急通知》,为可行回应Windows操作系统敲诈者病毒在互联网与政企专网大面积蔓延,对住宅公积金业务数据及劳动终端资料或者造成的安全威胁,珠海市住房公积金管理中心决定加固升级内外网络,暂停办理所有住宅公积金业务。

陕西一些地购进的交通管理网络为负了勒索病毒爆发的熏陶,暂停了事情办理[10] 
。此外,部分地面为“系统保障”发布有关通知,暂停办理交管、出入境等业务。

(2)WannaCry国外

俄罗斯:内政部称约1000台Windows计算机中抨击,但代表这些计算机已经由该机关计算机网络上叫隔离。

英国:2017年5月13日,全球多地爆发“WannaCry”勒索病毒,受影响之连英国16寒医院(截止北京时间5月13日5点)。

朝鲜:在当时非常范围的口诛笔伐下逃过一劫,守住了一如既往方净土。

日本:日本警察厅当天代表于该国境内认可了2由,分别吗某某综合医院与个体电脑感染病毒,并未导致财产损失。尚不明了日本之案例是否含有在这150独国家遭受。

西班牙:国家情报中心认证,西班牙多下庄被了“大规模”的纱黑客攻击。该国电信业巨头西班牙电信总部之差不多令微机陷入瘫痪。

3
360有惊无险警卫公布软件恢复措施

文件恢复工具下载地址
:http://dl.360safe.com/recovery/RansomRecovery.exe

挑加密文书所在驱动器

w88win优德手机版 3

 

举目四望后,选择而恢复的文书

w88win优德手机版 4

w88win优德手机版 5

回复前后对比图

w88win优德手机版 6

以微博中,作者强烈建议用户挑选将恢复的文书保留于彻底的移动硬盘或U盘上。同时作者还意味着并无可知百分之百恢复文件,但是有

或许回升一定比重文件,成功概率会遭遇文件数量相当于多重复因素影响:

w88win优德手机版 7

 根据先安研究者的布道,勒索软件用的凡 RSA

  • AES
    加密算法,属于几乎无法以简单时间外破解的加密算法,那么本次360作

分布的家伙又是根据什么规律为?为什么恢复文件还在必然几率?而且,不少网友发觉,此次的“勒索蠕虫病毒文件恢复工具”和360这个前

生产的“误删除文件恢复工具”极其相似,这同时是怎么吧?他们是不是动了类似原理?

 w88win优德手机版 8

w88win优德手机版 9

4
勒索加密算法(关于加密算法,后期起日,单独写一首稿子,这里才是不怎么提及)

 (1)RSA

w88win优德手机版 10

(2)AES

w88win优德手机版 11

 

总:AES和RSA加密算法比价复杂,如AES 32各项加密,破解难度太生。

5 操作指南

5.1
开启防火墙(比较简单,跳了)

5.2 关闭445端口

第一种艺术

w88win优德手机版 12

 

w88win优德手机版 13

 

w88win优德手机版 14

 

w88win优德手机版 15

 

 w88win优德手机版 16

 

 w88win优德手机版 17

 

w88win优德手机版 18

 

w88win优德手机版 19

 

 w88win优德手机版 20

 

w88win优德手机版 21

 

w88win优德手机版 22

 关闭服务server:Win+R,输入services.msc

w88win优德手机版 23

 

 检测445端口是否关闭:Win+R,输入cmd,DOS命令:netstat -an

w88win优德手机版 24                                   

445端口已关门

w88win优德手机版 25

 第二种方法:通过注册表关闭(比较简单,跳了)

5.3
升级XP系统(简单,跳过)

5.4
给不同系统打补丁

下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010

下载时,对应好相应OS版本。

w88win优德手机版 26

 

NSA检测:http://dl.360safe.com/nsa/nsatool.exe

5.5
开启OS自动更新(比较简单,跳了)

5.6时时表现问题回复

(1)这个勒索病毒会攻击哪些系统?

 答:这次病毒爆发影响确实很很,为日前所罕见。该病毒使用NSA“永恒的蓝”这个严重漏洞传播,几乎所有的Windows系统如果没打补丁,都见面给攻击。

 微软以今年 3 月发布了 MS17-010
安全更新,以下系统如翻开了自动更新或安装了相应之翻新补丁,可以抵御该病毒——Windows
Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows
8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows
Server 2016 。

 最安全之凡Windows 10
的用户,该体系是是默认开启自动更新且无法关闭的,所以不见面吃该病毒影响。

 另外:由于此次风波影响巨大,微软免去天荒的再次为曾休以维护期的Windows
XP、Windows 8和 Windows Server 2003 提供了燃眉之急安全补丁更新。

(2)除了Windows系统的微机外,手机、Pad、Mac等极端是否会见给攻击?

 答:不见面的,病毒就攻击Windows系统的微机,手机当终端不见面让口诛笔伐,包括Unix、Linux、Android等体系还不见面吃影响。

 请大家不用慌张,不要听信谣言。例如下图,明显是假的,是造谣者PS的。

(3)被这勒索病毒感染后的症状是呀?

报:中毒后极引人注目的病症就是电脑桌面背景为改,许多文本给加密锁死,病毒弹出提示。

w88win优德手机版 27

让病毒加密锁死的文本包括以下后缀名:

.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.

(4)小白用户如何防御之勒索病毒?

大面积用户无论需过度担心,安装“火绒安全软件”即可防御之勒索病毒,以及新面世的变种。同时,请为操作系统升级、安装补丁程序。

(5)哪些用户容易受感染,为什么政府自行与高等学校是重灾区?

现阶段是病毒通过联合享端口传播,除了攻击外网IP以外,也会于公网进行抨击。但是,只有一直暴露在公网且没有安装相应操作系统补丁的电脑才见面遭震慑,因此那些经路由于拨号的个人用户,并无见面直接通过公网被口诛笔伐。如果商家网络为是通过总路由说访问公网的,那么企业网络中的微机为无见面面临来自公网的第一手攻击,但并无排病毒未来版本会现出又多传播渠道。

洋洋校园网或另网络有有的直连接公网的处理器,而其中网络又仿佛一个大局域网,因此若暴露于公网上的微机给攻陷,就会促成整局域网在为感染的风险。

据悉“火绒威胁情报系统”的数额,互联网个人用户被染的并无多。

 

(6)已经为染用户,能否破镜重圆给加密锁死的文件?

敲定:这挺麻烦,几乎不容许,即使付出赎金,也不见得能获取解密密钥。

比过去之讹病毒,这次的WannaCry病毒存在一个沉重缺点——病毒作者无法明确肯定哪些受害者支付了赎金,因此特别为难给起相应的解密密钥(密钥是本着许每一样玉电脑的,没有通用密钥)。

求不要任意开赎金(比特币),如上所述,即使付出了赎金,病毒作者吧无能为力区分到底孰开发赎金并让来相应密钥。

网上传有“解密方法”,甚至有人说病毒作者良心发现,已经宣布了解密密钥,这些都是谣传。这个勒索病毒与以往之多数敲诈病毒一样,是力不从心解密的,请不要相信任何可以解密之弥天大谎,防止上当受骗。

或多或少安全公司吗揭示了解密工具,其实是“文件修复工具”,可以少恢复部分叫删的文书,但是依然无法解密被锁死的公文。

(7)“永恒的蓝”和“勒索病毒”是什么关联?

报经:“永恒之蓝”是借助NSA泄露的危险漏洞“EternalBlue”,此次的敲病毒WannaCry是采取该漏洞进行传播之,当然还可能有另外病毒也透过“永恒之蓝”这个漏洞传播,因此于系统打补丁是得的。

(8)听说一个英国小哥的不测的选,阻止了最近席卷全球网络的于特币勒索病毒攻击事件的累蔓延,拯救了全球,是休是真?

报经:勒索病毒WannaCry的病倒毒体中涵盖了同一段子代码,内容是病毒会活动联网检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问,如果可以访问,则不再继续传播。这就是该病毒的“神奇开关”。

域外安全研究人口(英国小哥)发现及时段代码后旋即报了这网址,的确是可行地拦阻了该病毒的还可怜范围之不胫而走。但是,这无非阻止了病毒的传入,已经于感染的电脑还是被攻击,文件会被加密锁死。

另外,病毒体中的立段代码没有于加密处理,任何一个新的病毒制造者还好改、删除这段代码,因此未来也许出现“神奇开关”被剔除了之初变种病毒。

(9)如果下正版操作系统,并开启了自动更新,那还是否用以网上的免疫工具?

报:Vista以上系如被了自动更新,就未待运用其它免疫工具,更不需要手工关闭相关端口。Winxp、Win2003和Win8当下3独网一旦打了微软紧急提供的补丁,也任需重新用免疫工具,以及手动关闭端口。

 

6 建议

(1)开机前,拔掉网线、停用无线等整整互联网连接;

(2)在拔一切网线后,开机,对第一数据进行备份和要数据迁移(转移至非网络连接本地服务器存储);

(3)使用安全(无病毒)的U盘下充斥系统补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx),并给每台计算机打上该补丁(注意仔细核对操作系统的版本并下载相应补丁);
(4)使用安全(无病毒)的U盘下载“360NSA武器库免疫工具”(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx),对计算机补丁升级情况进行安全检测;60安全中心也已推出“NSA武器库免疫工具”,(NSA武器库免疫工具:http://dl.360safe.com/nsa/nsatool.exe)免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御;

(5)关闭电脑操作系统不必要开放的445、135、137、138、139等于端口关闭网络共享功能;

(6)完成上述手续后,方可联网;

(7)不要打开陌生邮件;

(8)升级没有版本操作系统,尤其是windows 2003和windows
XP,最低升级至win7;

(9)未提升操作系统的处理方式(不引进,临时缓解)。打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则;

(10)使用正版操作系统;

(11)建议win7及以上版本的网装置微软MS17-010补偿吃(Windows XP/2003
微软已住服务)。https://technet.microsoft.com/zh-cn/library/security/MS17-010;

(12)单位若正式员工网络下载,尤其是文本,邮件,软件相当,下载的素材通过杀毒软件杀毒后重新打开;

(13)一旦发现电脑有好,马上隔离处理;

 

参考文献

【1】http://www.tuicool.com/articles/2yMFR3Y

【2】http://liuxingliang.baijia.baidu.com/article/850507

【3】http://liuxingliang.baijia.baidu.com/article/850507

【4】http://www.leiphone.com/news/201705/KNhWA9frdZpfCZNu.html

 

 

 

 

 

 

 

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website