首页 > 新闻 > 实时播报 > 原创新闻 > 正文

全球爆发大规模勒索病毒软件感染,请收好应对攻略!!

提示: 需要各单位部门及广大网民高度警惕。

5月12日晚,全球爆发大规模勒索病毒软件感染事件,包括英国医疗体系、俄罗斯内政部在内的众多计算机系统受到不同程度的攻击。

我国大量行业企业内网大规模感染,教育网受损严重。国内多所高校发布关于连接校园网的电脑大面积中“勒索”病毒的消息,这种病毒致使许多高校毕业生的毕业论文(设计)被锁,支付赎金后才能解密。

作为互联网大市,这无疑也是对金华信息安全工作的严峻考验,需要各单位部门及广大网民高度警惕。

有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议请各单位立即进行关注和处置。

一、立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。

三、一旦发现中毒机器,立即断网。

四、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件共享。

五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

六、尽快备份自己电脑中的重要文件资料到存储设备上。

七、及时更新操作系统和应用程序到最新的版本。

八、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。

九、安装正版操作系统、Office软件等。

 

关于5.13勒索软件的简析及防范方法

一、病毒概况

1.病毒名称:WanaCrypt0r(直译:“想哭勒索蠕虫”)、ONION勒索软件、Eternalblue永恒之蓝、5.13比特币勒索软件

2.病毒目的:索要赎金

3.病毒作者:疑似SpamTech组织生成对此事负责

4.实体形式:

EXE可执行文件,主程序文件“@WanaDecryptor@.exe”

MD5:DB349B97C37D22F5EA1D1841E3C89EB4

文件大小:    3,723,264

5.病毒影响面:除Windows 10外,所有未打MS-17-010补丁的Windows系统都可能被攻击

6.病毒功能:释放加密程序,使用RSA+AES加密算法对电脑文件进行加密勒索,通过MS17-010漏洞实现自身的快速感染和扩散。

7.病毒主要模块:勒索程序和溢出攻击

8.传播方式:蠕虫式

9.爆发范围:全球99国家,中国在20170513下午14点统计为2.8万台感染;全球7.5万台。

10.爆发时间:国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日傍晚新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。

11.爆发渠道:局域网内网、教育网

说明: )ZHP9391K1JB06UHCUTUFMA

二、病毒特点

1.由传统勒索软件和0day漏洞共同激发形成。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序。

2.前期迹象:暗网信息反馈、比特币近期上涨、黑客组织预测今年勒索软件有较高爆发率

3.潜伏期:时间阀值式潜伏;前期潜伏,阀值后无潜伏

4.爆发威力大,此前的勒索软件以社工为主,这次以局域网为主

5.作者目前收到的比特币,20170513为11.5个,累计138000元

6.病毒开关:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

三、感染现象

1.直观现象:

说明: IMG_256

黑屏英文

说明: IMG_256

红色勒索界面

说明: IMG_256

感染文件

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

2.网络行为:

病毒启动后访问如下域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(54.153.0.145美、144.217.254.3美、217.182.172.139英)成功则退出,不成功则继续攻击;随后循环中向局域网的随机IP发送SMB(445端口)漏洞利用代码。

四、基本原理

1.WanaCrypt0r传播迅速,一方面是其会循环遍历系统上的每个开放RDP会话,并以该用户身份运行,同时其初始组件是一个蠕虫,使用ETERNALBLUE SMB漏洞(MS17-010)来传播该勒索软件。

2.勒索软件执行时,WinMain函数会尝试连接到开关网站,仅作尝试,实际上没有下载任何东西。如果连接成功,二进制文件退出。

3.通过该检查后,蠕虫会检查启动参数。它将安装一个名为mssecsvc2.0的服务,其显示名称为Microsoft Security Center(2.0)Service,启动该服务,打开蠕虫中的勒索软件,并运行。加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件。

说明: IMG_256

4.写到C:\WINDOWS\mssecsvc.exe(此路径实际上是硬编码),并执行。

5.初始化蠕虫使用的功能后,会创建两个线程。第一个线程扫描LAN上的主机,第二个线程创建128次,并扫描更多的Internet上的主机。第一个负责扫描LAN线程获取本地网络上的IP范围列表,然后创建一个ip数组,进行扫描。LAN扫描本身是多线程的,并且防止一次在LAN上扫描超过10个IP地址。扫描线程尝试连接到445端口,如果连接成功,则创建一个新线程尝试使用MS17-010 / EternalBlue来攻击系统。如果利用尝试时间超过10分钟,利用线程会终止。

6.第二个进程,扫描互联网的线程会使用先前初始化的伪随机数生成器,如果没有就使用较弱的伪随机数生成器来生成随机IP地址。如果与该随机IP地址上的445端口连接成功,则扫描这个ip整个C段,如果有445端口开放,则进行利用尝试。此时利用尝试时间限制为1小时。

五、检测方法

1.单位内网:出口设备或网内审计设备审计访问域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(54.153.0.145)的尝试请求次数。

2.服务器和个人机:使用扫描器扫描445端口或网上邻居查看。

六、防范方法

1.疏导防范:确保能够访问开关域名。设置内网dns解析,把开关域名解析到一个web站。

2.内网防范:网络区域隔离;内网设备上禁用SMB协议,封闭445等端口;注意外来主机接入。

3.主机防范:

l  注意外来移动存储介质。

l  网卡关闭共享:网络适配器-网络协议-关闭网络文件与打印机共享

l  组策略关闭共享:http://mp.weixin.qq.com/s/TCcjeDh5iZkioUuv76xYHw

l  防火墙关闭端口:图形界面下打开防火墙管理,选择445端口的条目,右键失效

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

l  关闭系统服务:关闭并禁用Server服务。以管理员权限打开CMD,运行:

net stop server

sc config LanmanServer start= disabled

l  关闭windows功能:打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。

4.自动化脚本:http://weitoutiao.zjurl.cn/dongtai/1567272789399553/

5.通过其他渠道下载补丁:

l  微软官方补丁:

WIN7及以上:https://technet.microsoft.com/zh-cn/library/security/MS17-010

WINxp/2003:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

6.各专杀工具

l  亚信安全:https://ssfe.asiainfo-sec.com/app#folder/JKKG/%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7/?a=HgdYwHS_CxA

l  相关地址和说明链接:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/

l  北京安天:ATScanner(WannaCry)http://www.antiy.com/response/wannacry/ATScanner.zip

l  蠕虫勒索软件免疫工具(WannaCry)http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

l  安天公司相关应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html

l  绿盟科技:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

l  360免疫工具&处置指南:http://0kee.360.cn/ms/010.zip

七、中毒处理

1.欺骗黑客

l  打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)

l  把copy粘贴到btc.com (区块链查询器)

l  在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)

l  把txid 复制粘贴给勒索软件界面按钮connect us.

l  等黑客看到后你再点击勒索软件上的check payment. 

l  再点击decrypt 解密文件即可。 

2.中毒短期和长期的应对措施

如果发现文件正在加密,时间不超过1小时建议直接拔电源。因为加密需要时间,时间短可能没有将文件加密多少。加密时间超过5个小时,建议别重启关机,可能内存还有加密密钥。

3.下载开源的脚本(需要python3环境)来运行尝试恢复。下载链接:https://github.com/QuantumLiu/antiBTCHack

4.假解密密钥

说明: 840976260666399870说明: 478392682034683902

说明: 72406589019518958

5.备份加密后的数据,然后重装。

八、后期防护

1.勤备份,多种备份介质。

2.内网要保持补丁更新。

3.关闭445,更换需要使用共享的业务方式。

4.应急响应预案。

5.警惕出现变种。

(以上分析由金职院信息安全创新实验室联合安远信息安全检测技术有限公司,根据自己测试数据和互联网反馈信息汇总,存在不确定性,仅供参考)

来源:金华新闻网 作者: 责任编辑:徐超