UDN-企业互联网技术人气社区
UDN 企业互联网技术社区 U视野 “谁锁了我的电脑?”——深度解析勒索病毒

“谁锁了我的电脑?”——深度解析勒索病毒

UDN社区 UDN社区 2017-5-15 11:26
分享到:
摘要:   对于许多学校、企业乃至政府机构来说,刚刚过去的周末并不平静。   2017年5月12日晚上8点多开始,全球爆发大面积“比特币勒索”网络病毒攻击,我国暂时发现多家大学的教育系统、学生个人计算机被攻击。   ...
  对于许多学校、企业乃至政府机构来说,刚刚过去的周末并不平静。

  2017年5月12日晚上8点多开始,全球爆发大面积“比特币勒索”网络病毒攻击,我国暂时发现多家大学的教育系统、学生个人计算机被攻击。

024454bfd7b2493881385059a00b48ac_th.jpg

  勒索病毒入侵分布图


  本次爆发的勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。

  【历史背景】

  2007年,美国国家安全局NSA开始实施棱镜计划,全面监视互联网。

  2013年6月,前中情局雇员爱德华斯诺登对媒体披露棱镜计划,并指出美国政府支持的黑客对全球多个国家进行了黑客攻击。

  2016年一个叫做“影子破坏者”的黑客组织公开拍卖美国国家安全局使用的部分攻击工具,其中包含了微软操作系统的一个漏洞(代号是永恒之蓝),虽然微软公司在今年三月份的时候发布补丁修复了这个漏洞,但因为大量低版本的Windows操作系统并不在微软的服务范围之内,所以仍然有数量巨大的用户处于未受保护的状态。随着时间的推移,原本的准军方武器,落入了黑色产业链的手上,并把它制作成为勒索病毒,这就是本次事件的前因后果。

  【病毒危害】

  本次勒索病毒的覆盖范围非常广,从医院到学校到企业,甚至包括了部分政府敏感部门,遍布世界各地,可以说是近十年来影响最大的一次信息安全事件。本次勒索病毒的性质也很恶劣,并不像过去以传递制作者理念和思想为核心的传播型病毒,或者以炫耀技术为目的的破坏型病毒,而是采用加密技术将用户的重要资料加密劫持,从而讹诈用户赎金的商业病毒。

  本次事件尚未完全结束,因为事件爆发的时间是周末,有很多办公电脑处于关机状态,周一上班后如果相应的管理人员不能及时采取安全防护措施,还会有一次延迟的爆发。

20770002a6a5b1c75a85.jpg

  电脑被锁定画面

D0A7BDB51F3A38AD9AB5529FB5E9BC94A7122D88_size47_w697_h735.jpeg

  公安网遭遇病毒袭击


  【分析预防】

  经过分析,这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件,其严重性不亚于当年的“冲击波”病毒。勒索软件为最新的“wannacry”的家族,目前尚无法对加密后的文件进行解密,中招后只能重装系统或向黑客支付赎金解决。此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的EquationGroup(方程式组织)的“EternalBlue(永恒之蓝)”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010SMB协议远程代码执行漏洞,该漏洞可影响主流的绝大部分Windows操作系统版本。

  漏洞影响范围:

  MS17-010漏洞主要影响以下操作系统:Windows2000,Windows2003,WindowsXP,WindowsVista,Windows7,Windows8,Windows10,Windows2008,Windows2012。

  由于EternalBlue的利用代码主要针对WindowsXP以及Windows7,2008,因此此次事件对于WindowsXP、Windows7,Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。

  WindowsXP/2003操作系统没有补丁,只要开启了445端口则确认受到影响。

  该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头。

  【解决方案】

  ◆做好重要文件的备份工作(非本地备份)。

  ◆开启系统防火墙。

  ◆利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)。

  ◆打开系统自动更新,并检测更新进行安装。

  ◆停止使用WindowsXP、Windows2003等微软已不再提供安全更新的操作系统。

  ◆如无需使用共享服务建议关闭该服务。

  已部署端点安全的终端应急解决方案

  ◆如果用户已经部署终端管理类产品,如北信源,天珣、联软等

  ◆通过终端管理软件进行内网打补丁。

  ◆通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。

  ◆开启文件审计,只允许word.exe,explore.exe等对文件访问。

  ◆升级病毒库。

  网络应急解决方案

  ◆在边界出口交换路由防火墙设备禁止外网对内网135/137/139/445端口的连接。

  ◆在内网核心主干交换路由防火墙设备禁止135/137/139/445端口的连接。

  ◆如果有部署入侵防御等防护系统则尽快检查漏洞库升级,开启防御策略。

  ◆发布通知重点留意邮件、移动存储介质等传播渠道,做好重点检查防护工作。

  已中毒用户

  方法一:

  ◆打开勒索软件界面,点击copy.(复制黑客的比特币地址)

  ◆把copy粘贴到btc.com(区块链查询器)

  ◆在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)

  ◆把txid复制粘贴给勒索软件界面按钮connectus.

  ◆等黑客看到后,再点击勒索软件上的checkpayment.

  ◆点击decrypt解密文件即可。

  方法二:

  下载开源的脚本(需要python3环境)来运行尝试恢复。

  下载链接:https://github.com/QuantumLiu/antiBTCHack

  内部排查应急方案

  ◆若用户已部署漏洞扫描类产品,可联系厂商获得最新漏洞库的支持。

  ◆未部署相关产品的用户,可联系厂商获得产品试用应急。

  无法关闭服务端口的应急解决方案

  ◆若用户已部署UTM/IPS入侵防御类产品,可联系厂商获得最新事件库的支持。

  ◆未部署相关产品的用户,可联系厂商获得产品试用应急。

  对于计算机操作基础比较弱的朋友,可以直接下载安装nsatool(下载地址:http://dl.360safe.com/nsa/nsatool.exe),可以帮助你检测系统是否遭受到了比特币勒索病毒的危害,并且提供防护方案。

来源:UDN社区




相关阅读

分享到:
已有1条评论

最新评论

一周焦点

    关注我们:
    关于我们
    联系我们
    • 电话:010-86393388
    • 邮件:udn@yonyou.com
    • 地址:北京市海淀区北清路68号
    移动客户端下载
    关注我们
    • 微信公众号:yonyouudn
    • 扫描右侧二维码关注我们
    • 专注企业互联网的技术社区
    版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
    返回顶部