【事件概述】
北京時(shí)間2017年5月12日晚����,全球爆發(fā)大規(guī)模勒索軟件感染事件����,一個(gè)名為“永恒之藍(lán)”的蠕蟲勒索病毒波及近100個(gè)國(guó)家,包括英國(guó)�、美國(guó)、中國(guó)�、俄羅斯、西班牙和意大利�,約7.5萬臺(tái)計(jì)算機(jī)被感染。國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)�����、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招,危害目前仍在持續(xù)快速擴(kuò)大�。該病毒會(huì)加密電腦和服務(wù)器中幾乎所有類型的文件,被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”�,感染者只有繳納高額贖金(有的要比特幣)才能解密資料和數(shù)據(jù)。
圖1勒索軟件界面
【軟件名稱】
WannaCrypt�、WannaCry、WanaCrypt0r��、WCrypt����、WCRY
【利用原理】
其迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-101,微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁���。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序��,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了這次全球性的大規(guī)模攻擊事件����。
【影響范圍】
圖2全球445端口開放狀況分布
圖3全球勒索病毒感染狀況分布
【軟件分析】
該軟件掃描開放445文件共享端口的Windows機(jī)器�,無需用戶任何操作,只要開機(jī)上網(wǎng)�,不法分子就能在電腦和服務(wù)器中植入勒索軟件����、遠(yuǎn)程控制木馬�、虛擬貨幣挖礦機(jī)等惡意程序。當(dāng)系統(tǒng)被該勒索軟件入侵后�,系統(tǒng)中.doc, .docx, .xls, .xlsx等近180種類型的文件會(huì)被加密,后綴名被統(tǒng)一修改為“.WNCRY”��。
此次大面積感染是通過蠕蟲來部署�����,蠕蟲病毒是一種常見的計(jì)算機(jī)病毒�,它利用網(wǎng)絡(luò)傳播自身功能的拷貝或自身的某些部分到其他的計(jì)算機(jī)系統(tǒng)中,因此一切與被感染主機(jī)有網(wǎng)絡(luò)連接的設(shè)備都將被感染��。因此����,此次蠕蟲危害,受影響的是主要是具有內(nèi)網(wǎng)環(huán)境的企業(yè)�、校園及公共事業(yè)等組織機(jī)構(gòu)����。受感染的內(nèi)網(wǎng)中的重要文件和數(shù)據(jù)已經(jīng)被加密����,已經(jīng)嚴(yán)重影響了企業(yè)��、校園及公共事業(yè)等組織機(jī)構(gòu)的正常業(yè)務(wù)執(zhí)行����,并已產(chǎn)生巨大的數(shù)據(jù)泄露和信息損害。
早在今年4月19日�,方程式組織工具包被再次被公開,其中包含了多個(gè)Windows漏洞利用工具�����,影響多個(gè)Windows操作系統(tǒng)���。漏洞針對(duì)Windows服務(wù)器的25��、88�����、139�����、445�����、3389等端口漏洞遠(yuǎn)程執(zhí)行命令��,其中影響尤為嚴(yán)重的是445和3389端口�。相應(yīng)Windows漏洞及補(bǔ)丁信息如圖所示:
由于部分組織機(jī)構(gòu)未意識(shí)到漏洞的巨大危害,未能采取有效地防護(hù)措施��,被黑客利用漏洞進(jìn)行攻擊�,并且在其內(nèi)網(wǎng)批量感染勒索病毒。
勒索病毒被漏洞遠(yuǎn)程執(zhí)行后�,會(huì)從資源文件夾下釋放一個(gè)壓縮包,此壓縮包會(huì)在內(nèi)存中通過密碼:WNcry@2ol7解密并釋放文件�,并隱藏自身。病毒加密詳情:
(1)使用AES-128-CBC模型對(duì)數(shù)據(jù)進(jìn)行加密(加密代碼是自實(shí)現(xiàn))
(2)AES密鑰是由CSPRNG產(chǎn)生的
(3)AES密鑰由RSA-2048密鑰進(jìn)行加密(實(shí)現(xiàn)為Windows RSA代碼)
目前無法對(duì)加密后的文件進(jìn)行解密��。
【漏洞檢測(cè)】
微軟提供免費(fèi)查掃工具:http://www.microsoft.com/security/scanner/�,下載雙擊運(yùn)行即可。
360“NSA武器庫免疫工具”:http://dl.360safe.com/nsa/nsatool.exe�����,檢測(cè)系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口��。
【修復(fù)方案】
臨時(shí)修復(fù):關(guān)閉445端口�,關(guān)閉網(wǎng)絡(luò)共享(具體操作見文末)
建議修復(fù):微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞�,打開系統(tǒng)自動(dòng)更新,檢測(cè)更新并安裝����,重啟電腦。為計(jì)算機(jī)安裝最新的安全補(bǔ)丁�����,或者手動(dòng)下載安裝
https://technet.microsoft.com/zh-cn/library/security/MS17-010���;對(duì)于Windows XP���、2003等機(jī)器,除盡快升級(jí)到window 7/Windows外�����,也可下載微軟總部剛發(fā)布的XP和部分服務(wù)器版WindowsServer2003特別安全補(bǔ)丁
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/����。
其他方式:360企業(yè)安全天擎團(tuán)隊(duì)開發(fā)的系統(tǒng)免疫工具�����,程序在電腦上運(yùn)行以后�,現(xiàn)有蠕蟲將不會(huì)感染系統(tǒng)����。下載地址:https://eyun.#/surl_yZ3RsYgQuvu(提取碼:e2ab)
附具體操作方法:
一、啟用Windows防火墻并關(guān)閉445端口
方法一:下載一鍵禁用445端口腳本
點(diǎn)擊www.secboot.com/445.zip��,下載解壓
右鍵點(diǎn)擊“管理員身份運(yùn)行”即可
方法二:
(1)打開控制面板���,點(diǎn)擊系統(tǒng)和安全
(2)打開Windows防火墻
(3)點(diǎn)擊“打開或關(guān)閉Windows防火墻”
(4)啟用Windows防火墻�����,點(diǎn)擊“確定”
(5)點(diǎn)擊“高級(jí)設(shè)置”
(6)點(diǎn)擊右側(cè)的“新建規(guī)則”
(7)創(chuàng)建“端口”規(guī)則����,點(diǎn)擊“下一步”
(8)在特定本地端口輸入“445”���,點(diǎn)擊“下一步”
(9)選擇“阻止連接”����,點(diǎn)擊“下一步”
(10)全選,點(diǎn)擊“下一步”
(11)任意輸入名稱��,點(diǎn)擊“完成”�,即可關(guān)閉445端口�。
二、關(guān)閉網(wǎng)絡(luò)文件共享
(1)打開“控制面板”�����,點(diǎn)擊“網(wǎng)絡(luò)和Internet”
(2)點(diǎn)擊“網(wǎng)絡(luò)和共享中心”
(3)點(diǎn)擊“更改高級(jí)共享設(shè)置”
(4)選擇“關(guān)閉文件和打印機(jī)共享”�����,點(diǎn)擊“保存修改”
永利yl23411官網(wǎng)
永利yl23411官網(wǎng)信息安全研究所
2017年5月12日
當(dāng)前位置: