Wannacry勒索軟件是怎么入侵電腦 運行流程分解和臨時解決方案

2017-05-15 13:27 作者:電腦問題網 電腦安全 瀏覽:118次
  電腦問題網-電腦安全 Wannacry 勒索軟件全球爆發,Wannacry勒索軟件是怎么入侵電腦 Wannacry勒索軟件運行流程分解和臨時解決方案(全文來自安天安全研究中心

  1.概述

  安天安全研究與應急處理中心(Antiy CERT)發現,北京時間2017年5月12日20時左右,全球爆發大規模勒索軟件感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。截止到5月13日23時,病毒影響范圍進一步擴大,包括企業、醫療、電力、能源、銀行、交通等多個行業均遭受不同程序的影響。

  據BBC報道,今天全球很多地方爆發一種軟件勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和數據,英國多家醫院中招,病人資料威脅外泄,同時俄羅斯,意大利,整個歐洲,包括中國很多高校……經過安天CERT緊急分析,判定該勒索軟件是一個名稱為“WannaCry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了此次全球性的大規模攻擊事件。

  安天CERT在2017年4月14日發布的《2016年網絡安全威脅的回顧與展望》[1]中提到“網絡軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結果未滿1個月,安天的這種“勒索軟件+蠕蟲”的傳播方式預測即被不幸言中,并迅速進入全球性的感染模式。

  安天依托對“勒索軟件”的分析和預判,不僅能夠有效檢測防御目前“勒索軟件”的樣本和破壞機理,還對后續“勒索軟件”可能使用的技巧進行了布防。安天智甲終端防御系統完全可以阻止此次勒索軟件新家族“WannaCry”加密用戶磁盤文件;安天探海威脅檢測系統,可以在網絡側有效檢測針對MS17-010漏洞的利用行為;安天態勢感知系統,基于有效感知全局資產脆弱性和受損態勢的基礎上,能快速聯動做出全網追溯、補丁加固、系統免疫等響應處置,有效縮短響應時間。

  2.事件分析

  當系統被該勒索軟件入侵后,彈出勒索對話框:

Wannacry 勒索病毒彈出勒索對話框
Wannacry 勒索病毒彈出勒索對話框

  加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,被加密的文件后綴名被統一修改為“.WNCRY”。

Wannacry 勒索病毒加密后的文件名
Wannacry 勒索病毒加密后的文件名

  攻擊者極其囂張,號稱“除攻擊者外,就算老天爺來了也不能恢復這些文檔” (該勒索軟件提供免費解密數個加密文件以證明攻擊者可以解密加密文件,“點擊 <Decrypt> 按鈕,就可以免費恢復一些文檔。”該勒索軟件作者在界面中發布的聲明表示,“3天內付款正常,三天后翻倍,一周后不提供恢復”。)。現實情況非常悲觀,勒索軟件的加密強度大,沒有密鑰的情況下,暴力破解需要極高的運算量,基本不可能成功解密。

可解密數個文件
可解密數個文件

  該勒索軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。

Wannacry 勒索病毒28種語言
Wannacry 勒索病毒28種語言

  該勒索軟件會將自身復制到每個文件夾下,并重命名為“@[email protected]”。并衍生大量語言配置文件、具有加密功能的文件、窗體文件等。

 樣本HASH值  功能描述
 5BEF35496FCBDBE841C82F4D1AB8B7C2
 DB349B97C37D22F5EA1D1841E3C89EB4
 F107A717F76F4F910AE9CB4DC5290594
 主程序,帶有域名開關,負責利用漏洞進行傳播、釋放WannaCry勒索軟件執行。
 7F7CCAA16FB15EB1C7399D422F8363E8
 84C82835A5D21BBCF75A61706D8AB549
 509C41EC97BB81B0567B059AA2F50FE8
 86721E64FFBD69AA6944B9672BCABB6D
 D6114BA5F10AD67A4131AB72531F02DA
 F529F4556A5126BBA499C26D67892240
 WannaCry勒索軟件程序,釋放Tor程序連接暗網、加密自動后綴名文件、彈出勒索窗體
 3E218283B2094D52EDC2661A8B62D7E3 (有殼VMP)
 0CB40A8A51539E2C5727C3EC87AF8A56
 7BF2B57F2A205768755C07F238FB32CC
 3503DF16479880FDF484ACE875FF3588
 B0AD5902366F860F85B892867E5B1E87
 E372D07207B4DA75B3434584CD9F3450
 FA44F2474BA1C807AD2AAE6F841B8B09
 7BF2B57F2A205768755C07F238FB32CC
 775A0631FB8229B2AA3D7621427085AD
 勒索軟件窗體文件,顯示勒索敲詐內容、倒計時信息、比特幣購買地址、攻擊者比特幣錢包等信息。
 4FEF5E34143E646DBF9907C4374276F5  刪除加密文件時產生的臨時文件
 8495400F199AC77853C53B5A3F278F3E  負責啟動勒索軟件窗體文件

曬數碼

熱門排行

最高點擊 最高回復 最新
DIY·外設 金牌欄目
DIY資訊 好手機 筆記本 平板電腦 相機 DIY硬件 數字家電 美科技 美女秀場
回到頂部
内蒙古十一选五前一值走势图带连线