1 .据安天安全研究与应急处置中心(Antiy CERT )简介,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国多家行业企业内网爆发大规模感染,教育网受损严重,攻击导致教育系统
据英国广播公司(BBC )报道,今天世界许多地方都出现了软件威胁病毒,只需支付高额赎金就可以解密资料和数据。 英国多家医院招聘,患者资料泄露的同时,包括俄罗斯、意大利、整个欧洲、中国的很多大学……
幽默老师经过紧急分析,判断该恐吓软件是一个名为“wannacry”的新家庭,目前无法解密该恐吓软件加密的文件。 该恐吓软件迅速感染全球大量主机的原因是利用了基于445端口扩散的SMB漏洞MS17-010,微软于今年3月发布了该漏洞的补丁。 2017年4月14日,黑客组织Shadow Brokers (影子ngdzc )发表的Equation Group )使用的“网络武器”中包含了该漏洞的利用步骤,该恐吓软件的攻击者和攻击组织是该“网络武器”
幽默老师在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》 [1]中阐述了“网络武器”的扩散无法全面降低攻击者的攻击成本,避免以威胁模式工作的蠕虫回潮等观点。 结果,不到一个月,安天的这种“勒索软件蠕虫”的传播方式不幸被预测出来,并迅速进入全球传播模式。
安天依据对“勒索软件”进行了分析和预判,不仅能有效检测和防御现有“勒索软件”的样本和破坏机制,还对后续“勒索软件”可能使用的技术进行了布控。 安天智甲终端防御系统完全可以阻止这次勒索软件的新家人“wannacry”加密用户的磁盘文件。
2 .事件分析幽默老师经过紧急分析,判断该恐吓软件是一个名为“wannacry”的新家庭,目前该恐吓软件无法解密加密文件。 该恐吓软件迅速感染全球大量主机的原因是利用了基于445端口扩散的SMB漏洞MS17-010,微软于今年3月发布了该漏洞的补丁。 2017年4月14日,黑客组织Shadow Brokers (影子ngdzc )发表的Equation Group )使用的“网络武器”中包含了该漏洞的利用步骤,该恐吓软件的攻击者和攻击组织是该“网络武器”
2.1 本地行为
系统被恐吓软件入侵后,会显示恐吓对话框。
图1恐吓接口
几乎加密所有类型的文件,包括系统中的照片、图像、文档、压缩包、音频、视频和可执行文件,并将加密文件的扩展名统一更改为".WNCRY "。
图2加密的文件名
攻击者非常傲慢,据说“除了攻击者以外,即使上帝来了也无法恢复这些文档”。 (该恐吓软件为了证明攻击者能够解密加密文件,免费解密一些加密文件,并显示“点击按钮,可以免费恢复一些文档。 ) )。 该勒索软件作者在界面上发表的声明称,“三天内付款正常,三天后翻倍,一周后不提供恢复。” 请参阅。 现实非常悲观,在威胁软件加密强度大且没有密钥的情况下,暴力解密需要极高的运算量,几乎不可能成功解密。
图3可以解密多个文件
该勒索软件已用28种语言“本地化”,包括英语、简体中文和繁体中文。
图4 28的语言
恐吓软件会将自己复制到每个文件夹下,并将其重命名为“@WanaDecryptor@.exe”。 派生大量的语言配置等文件。
c :usersgxb@ desktop@ please _ read _ me @.txtc 3360usersgxb@ wana decryptor @.ex XXX usersgxbdesktopf.wnryc3360 MSGM_Chinese(simplified ).wnryc:(users ) gxb ) desktop ) MSGM_Chinese(traditional ) wnryc3360 ) _seryc3360 usersgxbdesktopmsgm _ Danish.wnryc :SERSgxbdesktopmsgm _ English.wnryc : SERS gxb users _ gxb _ desktop _ msgm _ users _ gxbdesktopmsgm _ german.wnryc :usersgxb desktop _ msgm
UsersgxbDesktopmsgm_italian.wnryc:UsersgxbDesktopmsgm_japanese.wnryc:UsersgxbDesktopmsgm_korean.wnryc:UsersgxbDesktopmsgm_latvian.wnryc:UsersgxbDesktopmsgm_norwegian.wnryc:UsersgxbDesktopmsgm_polish.wnryc:UsersgxbDesktopmsgm_portuguese.wnryc:UsersgxbDesktopmsgm_romanian.wnryc:UsersgxbDesktopmsgm_russian.wnryc:UsersgxbDesktopmsgm_slovak.wnryc:UsersgxbDesktopmsgm_spanish.wnryc:UsersgxbDesktopmsgm_swedish.wnryc:UsersgxbDesktopmsgm_turkish.wnryc:UsersgxbDesktopmsgm_vietnamese.wnryc:UsersgxbDesktopr.wnryc:UsersgxbDesktops.wnryc:UsersgxbDesktopt.wnryc:UsersgxbDesktoptaskdl.exec:UsersgxbDesktoptaskse.exe该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:
加密如下后缀名的文件:
.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。
图 6 无法找到语言配置文件
2.2 网络行为
该勒索软件执行后会生成随机IP,并自动向生成的IP发起攻击。 内网传播
3.临时解决方案如果主机已被感染:
则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢复程序。
如果主机未被感染:
则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。
从响应效率和质量上,建议首先采用方式一进行抑制,再采用方式二进行根除。
方式一:启用蠕虫快速免疫工具免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe
请双击运行 OnionWormImmune.exe 工具,并检查任务管理器中的状态。
方式二:针对主机进行补丁升级请参考紧急处置工具包相关目录并安装 MS17-010 补丁,微软已经发布winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁。
微软官方下载地址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
快速下载地址:https://yunpan.cn/cXLwmvHrMF3WI powershell 访问密码:614d
方式三:关闭 445 端口相关服务点击开始菜单,运行,cmd,确认。
输入命令powershell netstat –an查看端口状态
输入powershell net stop rdr回车
powershell net stop srv回车
powershell net stop netbt回车
再次输入 netsta –an,成功关闭 445 端口。
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
打开系统自动更新,并检测更新进行安装
Win7、Win8、Win10的处理流程
打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
选择启动防火墙,并点击确定
点击高级设置
点击入站规则,新建规则
选择端口、下一步
特定本地端口,输入445,下一步
选择阻止连接,下一步
配置文件,全选,下一步
名称,可以任意输入,完成即可。
XP系统的处理流程
依次打开控制面板,安全中心,Windows防火墙,选择启用
点击开始,运行,输入cmd,确定执行下面三条命令
由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
方式五、配置主机级 ACL 策略封堵 445 端口通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口
开始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器
在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略下,在编辑器右边空白处鼠标右键单击,选择“创建 IP 安全策略”
下一步->名称填写“封端口”,下一步->下一步->勾选编辑属性,并点完成
去掉“使用添加向导”的勾选后,点击“添加”
在新弹出的窗口,选择“IP 筛选列表”选项卡,点击“添加”
在新弹出的窗口中填写名称,去掉“使用添加向导”前面的勾,单击“添加”
在新弹出的窗口中,“协议”选项卡下,选择协议和设置到达端口信息,并点确定。
重复第 7 个步骤,添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。添加全部完成后,确定。
选中刚添加完成的“端口过滤”规则,然后选择“筛选器操作”选项卡。
去掉“使用添加向导”勾选,单击“添加”按钮
选择“常规”选项卡,给这个筛选器起名“阻止”,然后“确定”。点击确认“IP 筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。确认安全规则配置正确。点击确定。在“组策略编辑器”上,右键“分配”,将规则启用。