“永恒之蓝””WannaCry”勒索病毒处置建议方案穿墙书店

发表评论
1,918

A+

所属分类：技术

“网络界的核武库”——NSA的黑客武器库又被人拿出来出来搞事情了！

据网络上传的最多的本版本是：本次攻击的主要目标是位于全国各地的高校。攻击者利用Windows系统默认开放的445端口在高校校园网内进行传播，攻击者不需要用户进行任何操作即可进行感染。

对于没写完毕业论文的小童鞋幸福了，这下有借口了！哈哈

还有新闻报道：就在前天5月12日，一款名为“WannaCry”的勒索病毒在全球进行大规模攻击，目前已知有100多个国家受害，据报英国医疗系统、快递公司FedEx、俄罗斯第2大电信公司Megafon都是这轮攻击的受害者。我国的教育网络在也成了本轮攻击的重灾区，攻击造成了部分学校教学网络的瘫痪。

2017年4月14日Shadow Brokers（影子经纪人）公布的方程式组织黑客工具包中包含了漏洞利用程序“永恒之蓝”。这次爆发的勒索软件的攻击者借鉴了SMB漏洞MS17-010的利用程序，该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010，进行了这次全球性大规模攻击事件。

本次攻击的厉害之处在于只要是开放了445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，攻击者就能在电脑和服务器中植入勒索软件。并且本次攻击使用的勒索软件目前无法进行解密，已经中招的用户除了忍痛割爱放弃资料重装系统，就只能任人宰割的交比特币换回资料所有权了！

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

国内某安全软件厂商针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

漏洞影响范围：

MS17-010漏洞主要影响以下操作系统：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。

由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于Windows XP、Windows 7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。

WindowsXP/2003操作系统没有补丁，只要开启了445端口则确认受到影响。

当系统被该勒索软件入侵后，弹出勒索对话框：

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件，该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头，加密如下后缀名的文件：

北京时间2017年5月12日，全球爆发大规模勒索软件感染事件，截止到目前，全球已有至少100多个国家和地区的上万台电脑受到感染，我国是此次蠕虫事件受感染的重灾区。目前，我国已有多个行业企业内网大规模受到感染，教育网受损尤为严重。经过分析，这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件，其严重性不亚于当年的“冲击波”病毒。勒索软件为最新的“wannacry”的家族，目前尚无法对加密后的文件进行解密，中招后只能重装系统或向黑客支付赎金解决。此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group（方程式组织）的“EternalBlue（永恒之蓝）”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞，该漏洞可影响主流的绝大部分Windows操作系统版本。

影响分析

漏洞影响范围：MS17-010漏洞主要影响以下操作系统：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于Windows XP、Windows 7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。

WindowsXP/2003操作系统没有补丁，只要开启了445端口则确认受到影响。

当系统被该勒索软件入侵后，弹出勒索对话框：

企业类解决方案：

1、未部署端点安全的终端应急解决方案

◆ 做好重要文件的备份工作（非本地备份）。◆ 开启系统防火墙。◆ 利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

◆ 打开系统自动更新，并检测更新进行安装。

◆ 停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

◆ 如无需使用共享服务建议关闭该服务。

2、已部署端点安全的终端应急解决方案

◆ 如果用户已经部署终端管理类产品等，通过终端管理软件进行内网打补丁。◆ 通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。◆ 开启文件审计，只允许word.exe，explore.exe等对文件访问。

◆ 升级病毒库，支持查杀。

3、网络应急解决方案

◆ 在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接。◆在内网核心主干交换路由设备禁止135/137/139/445端口的连接。◆ 如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。

◆ 发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

普通个人用户解决方案：

1. 重要文件提前备份（尽量移动硬盘备份）。

2. 可以开启360安全卫士、天网防火墙、金山安全卫士、赛门铁克、NOD 32、小红伞等安全软件防勒索服务。

3. 加强安全意识，不明链接不要点，不明文件不要下载，不明邮件不要点开。

4、下载360的NSA武器库免疫工具: http://dl.360safe.com/nsa/nsatool.exe 如下图

WannaCry勒索蠕虫存在秘密开关！

近日，微步在线捕获到一款新型勒索软件用于对全球范围内的目标发起大范围的攻击，多家安全公司将该勒索软件命名为“WannaCry”。微步在线对该事件中收集到的样本进行了紧急的分析，发现当前攻击样本中存在一个开关：样本启动后会首先请求域名一个秘密开关域名（具体见附录IOC），请求失败后即开始执行加密，相反，请求成功后立即退出，不执行加密。根据微步在线的威胁分析平台，该域名目前已经被安全公司接管，因此新感染的机器如果能够访问外网，请求该域名会返回成功，随即直接退出，不会执行加密操作，危害性有所降低。是的，被蠕虫感染的机器如果能够成功连通秘密开关域名，反而不会被加密！其他发现还有：

WannaCry家族同时具有勒索加密功能和蠕虫传播功能，一旦内网某台机器失陷，且内网其他机器没有外网访问权限，则整个内网机器仍旧很有可能被攻陷并被执行加密勒索。
鉴于该勒索软件需要连通上述开关域名，才会停止加密。因此，如果企业内网机器没有互联网访问权限，则建议客户在内网修改此开关域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的内网解析，并且将解析IP指向企业内部在线的web服务器；如果内网机器具有互联网访问权限，则无须采取额外措施。微步在线在第一时间为企业安全和IT管理者提供了行动指引，具体应对措施请参见下文“企业如何应对”部分。

什么是秘密开关域名？

我们对该勒索样本进行分析后发现，样本启动后会首先请求如下域名：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

请求失败后，才会执行加密；否则，则放弃进一步加密，并直接退出，我们将该域名称之为“开关域名”：

背后的攻击者是谁？
有疑似名为SpamTech的Twitter生成对此次攻击事件负责，但具体真伪我们仍在进一步分析中：

建议直接部署微步在线威胁情报平台进行检测，或者使用附录的IOC结合日志检测：

如，通过防火墙检查与IP 144.217.254.3的连接。

附录

C&C

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com（秘密开关域名）

检验：可以点开查看是否能显示“sinkhole.tech - where the bots party hard and the researchers harder.”这么一句话，显示说明能正常访问。

域名对应的IP地址：144.217.254.3

检验：可以尝试windows的ping命令，如图：

（重要提示：请不要在防火墙、IPS等设备拦截上述域名和IP的访问，否则会造成失陷机器被加密勒索！！！）
木马hash

22ccdf145e5792a22ad6349aba37d960db77af7e0b6cae826d228b8246705092

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

11011a590796f6c52b046262f2f60694310fa71441363d9116ada7248e58509a

11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49

16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab

201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9

57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4

5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec

5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9

5d8123db7094540954061ab1fbc56eedcd9e01110b62d0f54206e3e75a39776a

78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df

8321dfdf54fa41c6ef19abe98df0f5ef80387790e8df000f6fd6dc71ea566c07

9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640

a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c

b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0

b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4

dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696

e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079

e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96

eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb

f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

微软的MS17-010补丁下载地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

下载英文安全更新：Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64,Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

WannaCry勒索蠕虫存在秘密开关！

什么是秘密开关域名？

背后的攻击者是谁？ 有疑似名为SpamTech的Twitter生成对此次攻击事件负责，但具体真伪我们仍在进一步分析中：

附 录

C&C

发表评论取消回复

背后的攻击者是谁？
有疑似名为SpamTech的Twitter生成对此次攻击事件负责，但具体真伪我们仍在进一步分析中：

附录