安全快讯
首页 > 新闻报道 > 安全快讯> 正文

遭遇WannaCry(想哭)蠕虫怎么办?防御百科帮你忙!

本篇文章主要对WanaCrypt0r勒索蠕虫发展的时间线做了一个简要的分析,同时汇总了相关的技术分析,防御建议,以及在不交赎金的情况下如何尽最大可能恢复已加密文档。

作者:童话来源:安全客|2017-05-15 22:11:04

想哭勒索蠕虫时间轴

2017年3月14日 微软释放MS17-010补丁修复多个 Windows SMB 远程执行代码漏洞

2017年4月14日 国际黑客组织ShadowBrokers释放含永恒之蓝的漏洞利用代码的工具包

2017年4月15日 微软发布相关公告表示ShadowBrokers释放的工具包利用的全部漏洞此前已经修复

2017年5月12日 想哭勒索蠕虫释放传播,全球相继近100个国家遭遇该勒索病毒的袭击

2017年5月13日 360追日团队针对想哭的蠕虫发布国内首篇完全的技术分析

2017年5月14日 360安全卫士发布想哭的蠕虫文件恢复工具(工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。)

概述

自从5月12日开始,网友都被这样的一则新闻刷了屏:中国大批高校出现勒索病毒感染情况,众多师生电脑文件都被病毒加了密,只有支付高达5万元的赎金才能恢复,已经有学生因此耽误了答辩可能毕不了业。

这是在国内,全球已经有近100个国家遭遇勒索病毒的袭击,在英格兰,至少16家医院和相关机构遭遇了攻击,苏格兰还有5家。每家医院除了面临约400万人民币的勒索,还面临电脑系统瘫痪、电话线路被切断、急诊病人被迫转移……

在NSA黑客工具“永恒之蓝”的助力下,这一波勒索病毒让800万毕业生深陷肄业风险,交通、能源、教育等行业也笼罩在勒索病毒的重重阴影之下。

想哭勒索蠕虫前世篇

要想说明白WanaCrypt0r勒索蠕虫(想哭的蠕虫),就要从前段时间ShadowBrokers黑客组织释放的NSA漏洞利用工具包说起。

北京时间4月14号晚,Shadow Brokers泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程代码执行漏洞利用工具,可以覆盖大量的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。

其中在该工具包中有一个名为ETERNALBLUE(永恒之蓝)的漏洞利用程序为此次蠕虫事件的核心漏洞利用代码。其实微软在漏洞程序发布前已经释放了响应的安全补丁(MS17-010:https://technet.microsoft.com/zh-cn/library/security/MS17-010 ),工具包释放后,安全客等平台相继发出响应安全预警及修复建议http://bobao.360.cn/news/detail/4118.html。由于国内外部分组织及个人安全意识缺失,最终导致了"想哭的蠕虫"席卷全球100多个国家的局面。

想哭勒索蠕虫今生篇

2017年5月12日

360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,呼吁大家尽快安装MS17-010补丁预防攻击。外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭的蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。

技术分析报告

360追日团队对“想哭勒索蠕虫”国内首家进行了完整的技术分析,帮助大家深入了解此次攻击!

相关技术分析链接:【权威报告】WanaCrypt0r勒索蠕虫完全分析报告

WanaCrypt0r勒索蠕虫(“想哭勒索蠕虫”),主要利用MS17-010“永恒之蓝”漏洞进行传播。

针对该漏洞的详细分析:【漏洞分析】MS 17-010:NSA Eternalblue SMB 漏洞分析

防御建议

针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统(最新消息:Microsoft为不支持的产品Windows XP,Windows 8和Windows Server 2003发布WannaCrypt保护补丁,亦可根据自身操作系统版本,下载对应补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ ),免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

1.更新系统补丁

2.开启防火墙、关闭445端口

3.关闭并禁用Server服务

4.使用360 安全卫士离线救灾版进行相应的防护,免受该蠕虫病毒的侵扰

值得一提的是,微步在线对该事件中收集到的样本进行了紧急的分析,发现当前攻击样本中存在一个开关:样本启动后会首先请求域名一个秘密开关域名(ww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com),请求失败后即开始执行加密,相反,请求成功后立即退出,不执行加密。鉴于该勒索软件需要连通上述开关域名,才会停止加密。因此,如果企业内网机器没有互联网访问权限,则建议客户在内网修改此开关域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的内网解析,并且将解析IP指向企业内部在线的web服务器;如果内网机器具有互联网访问权限,则无须采取额外措施。

为了防止勒索病毒继续扩散可以采用如上方法。(变种已采用新的秘密开关:www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com)

附:

360“NSA武器库免疫工具”下载地址:http://dl.360safe.com/nsa/nsatool.exe 

360 安全卫士离线救灾版下载地址:http://dl.360safe.com/setup_jiuzai.exe 

微软安全补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598    

文档恢复建议

WanaCrypt0r勒索蠕虫对文档采用整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。加密算法为非对称加密,以现有的计算能力没有密钥直接破解的概率为0!故要想解密全部加密文档只有向勒索软件作者缴纳赎金(由于影响范围巨大,勒索软件作者可能无法区分每一个缴纳赎金的受害者,此方法慎用!)。

根据对该蠕虫病毒的分析,360首发勒索蠕虫病毒文件恢复工具,有可能恢复一定比例文件的急救方案,成功概率会受到文件数量等多重因素影响。下载地址:http://dl.360safe.com/recovery/RansomRecovery.exe 

【责任编辑:童话 】

分享:

安全快讯+更多

湖南青年杨某沉迷“黑客”技术,利用国外网络攻击网站的攻击服务,花钱请人开发成软件后,通过QQ群推销,并发展代理商销售,8个月内获利数万元。
6月13日,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟共同举办的第五届中国网络安全大会(NSC2017)在北京国家会议中心隆重举行。
《中华人民共和国网络安全法》已于6月1日正式实施并成为我国网络空间法治建设的重要里程碑,在确立安全在整个信息系统建设中的核心和关键地位的同时,也对保护公众个人信息安全起到了积极作用。
Shadow Brokers(影子经纪人)回应想哭勒索蠕虫事件,同时公布了一个月度销售计划,称自6月开始,每个月都有高危0day、黑客工具、机密数据售卖。
勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,恐怕是这几天影响力最大的公共安全事件了。