【事件概述】
北京時間2017年5月12日晚��,全球爆發(fā)大規(guī)模勒索軟件感染事件,一個名為“永恒之藍”的蠕蟲勒索病毒波及近100個國家����,包括英國�、美國、中國���、俄羅斯�����、西班牙和意大利����,約7.5萬臺計算機被感染。國內(nèi)多個高校校內(nèi)網(wǎng)�、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招,危害目前仍在持續(xù)快速擴大�����。該病毒會加密電腦和服務(wù)器中幾乎所有類型的文件�,被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”,感染者只有繳納高額贖金(有的要比特幣)才能解密資料和數(shù)據(jù)�����。
圖1勒索軟件界面
【軟件名稱】
WannaCrypt��、WannaCry���、WanaCrypt0r�����、WCrypt����、WCRY
【利用原理】
其迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-101,微軟在今年3月份發(fā)布了該漏洞的補丁�����。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序�,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進行了這次全球性的大規(guī)模攻擊事件。
【影響范圍】
圖2全球445端口開放狀況分布
圖3全球勒索病毒感染狀況分布
【軟件分析】
該軟件掃描開放445文件共享端口的Windows機器�����,無需用戶任何操作���,只要開機上網(wǎng),不法分子就能在電腦和服務(wù)器中植入勒索軟件����、遠程控制木馬、虛擬貨幣挖礦機等惡意程序��。當(dāng)系統(tǒng)被該勒索軟件入侵后�,系統(tǒng)中.doc, .docx, .xls, .xlsx等近180種類型的文件會被加密�,后綴名被統(tǒng)一修改為“.WNCRY”�����。
此次大面積感染是通過蠕蟲來部署�����,蠕蟲病毒是一種常見的計算機病毒�,它利用網(wǎng)絡(luò)傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)中,因此一切與被感染主機有網(wǎng)絡(luò)連接的設(shè)備都將被感染�。因此,此次蠕蟲危害�,受影響的是主要是具有內(nèi)網(wǎng)環(huán)境的企業(yè)、校園及公共事業(yè)等組織機構(gòu)���。受感染的內(nèi)網(wǎng)中的重要文件和數(shù)據(jù)已經(jīng)被加密�����,已經(jīng)嚴重影響了企業(yè)���、校園及公共事業(yè)等組織機構(gòu)的正常業(yè)務(wù)執(zhí)行,并已產(chǎn)生巨大的數(shù)據(jù)泄露和信息損害。
早在今年4月19日���,方程式組織工具包被再次被公開����,其中包含了多個Windows漏洞利用工具���,影響多個Windows操作系統(tǒng)���。漏洞針對Windows服務(wù)器的25、88�、139、445����、3389等端口漏洞遠程執(zhí)行命令,其中影響尤為嚴重的是445和3389端口�。相應(yīng)Windows漏洞及補丁信息如圖所示:
由于部分組織機構(gòu)未意識到漏洞的巨大危害,未能采取有效地防護措施��,被黑客利用漏洞進行攻擊��,并且在其內(nèi)網(wǎng)批量感染勒索病毒���。
勒索病毒被漏洞遠程執(zhí)行后���,會從資源文件夾下釋放一個壓縮包,此壓縮包會在內(nèi)存中通過密碼:WNcry@2ol7解密并釋放文件����,并隱藏自身。病毒加密詳情:
(1)使用AES-128-CBC模型對數(shù)據(jù)進行加密(加密代碼是自實現(xiàn))
(2)AES密鑰是由CSPRNG產(chǎn)生的
(3)AES密鑰由RSA-2048密鑰進行加密(實現(xiàn)為Windows RSA代碼)
目前無法對加密后的文件進行解密����。
【漏洞檢測】
微軟提供免費查掃工具:http://www.microsoft.com/security/scanner/,下載雙擊運行即可�。
360“NSA武器庫免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,檢測系統(tǒng)是否存在漏洞��,并關(guān)閉受到漏洞影響的端口�����。
【修復(fù)方案】
臨時修復(fù):關(guān)閉445端口�����,關(guān)閉網(wǎng)絡(luò)共享(具體操作見文末)
建議修復(fù):微軟已發(fā)布補丁MS17-010修復(fù)了“永恒之藍”攻擊的系統(tǒng)漏洞�,打開系統(tǒng)自動更新�����,檢測更新并安裝��,重啟電腦����。為計算機安裝最新的安全補丁���,或者手動下載安裝
https://technet.microsoft.com/zh-cn/library/security/MS17-010��;對于Windows XP�����、2003等機器�,除盡快升級到window 7/Windows外�����,也可下載微軟總部剛發(fā)布的XP和部分服務(wù)器版WindowsServer2003特別安全補丁
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/�。
其他方式:360企業(yè)安全天擎團隊開發(fā)的系統(tǒng)免疫工具,程序在電腦上運行以后�,現(xiàn)有蠕蟲將不會感染系統(tǒng)。下載地址:https://eyun.#/surl_yZ3RsYgQuvu(提取碼:e2ab)
附具體操作方法:
一�����、啟用Windows防火墻并關(guān)閉445端口
方法一:下載一鍵禁用445端口腳本
點擊www.secboot.com/445.zip�,下載解壓
右鍵點擊“管理員身份運行”即可
方法二:
(1)打開控制面板,點擊系統(tǒng)和安全
(2)打開Windows防火墻
(3)點擊“打開或關(guān)閉Windows防火墻”
(4)啟用Windows防火墻����,點擊“確定”
(5)點擊“高級設(shè)置”
(6)點擊右側(cè)的“新建規(guī)則”
(7)創(chuàng)建“端口”規(guī)則,點擊“下一步”
(8)在特定本地端口輸入“445”�����,點擊“下一步”
(9)選擇“阻止連接”����,點擊“下一步”
(10)全選,點擊“下一步”
(11)任意輸入名稱��,點擊“完成”��,即可關(guān)閉445端口��。
二����、關(guān)閉網(wǎng)絡(luò)文件共享
(1)打開“控制面板”�,點擊“網(wǎng)絡(luò)和Internet”
(2)點擊“網(wǎng)絡(luò)和共享中心”
(3)點擊“更改高級共享設(shè)置”
(4)選擇“關(guān)閉文件和打印機共享”����,點擊“保存修改”
永利yl23411官網(wǎng)
永利yl23411官網(wǎng)信息安全研究所
2017年5月12日
當(dāng)前位置: