5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模***。我国的许多行业机构和大型企业也被***,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。
本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。
病毒***行为和结果
遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry***的用户可能会永远失去这些文件。
WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。
至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。
因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。
传播途径和***方式
据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者***用户加密文件。
其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。
据悉,蠕虫代码运行后先会连接域名:hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。
但是无论这个“神奇开关”是否开启,该病毒都会***用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。
易受***用户群
目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到***的用户群。
首先,该病毒只***Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被***。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。
Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到***。
同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接***。
火绒将持续追杀WannaCry
目前,对抗“蠕虫”勒索软件***的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。
自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。
而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。
此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。
关于有部分人说自己的电脑打不上补丁,由于是GHOST系统及Win7SP0等版本,无法安装补丁或蓝屏情况。可以使用360有点鸡肋的热补丁救急一下或者自己手动处理一下即可▼
▲在安装补丁之前首先要确保windows updata服务,Windows Install服务和BITS服务已经启动
已经启动,如果没启动这些服务,安装补丁会失败,失败错误码0x8024800C(2149875724),0x80070422(2147943458),查看错误码的方法看步骤3,开启服务的方法如下:
1、右击桌面图标计算机图标--->点击“管理”,打开计算机管理页面
2、在计算机管理页面点击-->服务和应用程序-->服务,找到服务名Windows Install,如果状态不是”已启动”,则说明服务没有启动,点击-->启动此服务,另外两个服务windows updata和BITS(Background IntelligentTransfer Service)用同样的方法开启
补丁KB4012212安装失败处理流程5.1.右击桌面图标计算机图标--->点击“管理”,打开计算机管理页面
在计算机管理页面点击-->事件查看器-->setup-->看错误信息提示(来源是WUSA)-->如果错误提示信息中有如下提示的:无法安装 Windows 更新"Windows 安全更新程序 (KB4012212)",因为发生错误: 2147956498“组件存储已损坏”(如下图),如果错误码是2147956498(十六进制为0x80073712)则按照骤6来解决,错误码是2147942423(十六进制0x80070017)则按照骤7来解决
错误码是2147956498(组件存储已损坏)的解决方法6.1.跟据微软公告信息该错误主要是由于没安装补丁KB947821导致,需要先安装补丁KB947821,请用户跟据电脑操作系统的版本号下载补丁KB947821安装。 Windows 7 补丁 (KB947821):64位系统http://url.cn/499p3h232位系统:http://url.cn/499p43y WindowsServer 2008 R2 补丁 (KB947821):64位系统http://url.cn/499m4Pb WindowsServer 2008 R2 for Itanium-based 补丁 :http://url.cn/499p5KA Windows Vista补丁 (KB947821):32位系统:http://url.cn/499refo64位系统http://url.cn/499oZvt WindowsServer 2008 补丁 (KB947821)32位系统http://url.cn/499oafz64位系统http://url.cn/499obR4Windows Server 2008 for Itanium-based 补丁(KB947821)http://url.cn/499mBIw6.2.根据电脑系统版本号下载相应的补丁安装,注意由于补丁较大安装时间会较长,有时进度条会一直显示不动,有的用户会安装时间可能要一个多小时,这种情况不是卡死请耐心等待
错误码是2147942423(数据错误,循环冗余检查)的解决方法7.1.以管理员身份运行CMD,输入命令chkdsk /r -->如果显示无法锁定当前驱动器则继续输入-->Y-->回车后重启计算机,重启完后再安装kb4012212便可
早先勒索病毒蠕虫onion原本有个停止传播判断媒介,可能是为了控制感染规模。但最新出现的蠕虫变种wannacry已经取消了这个媒介,这意味着它会毫无限制的自动传播。人会累,但机器不会,只要有一台带毒机器开着,蠕虫就不会停。今天开机一定注意做好防护措施!
附上最新一个可能恢复文件方法:以往勒索病毒一般是把原始文件用垃圾数据多次覆盖后删除,要么是直接篡改原始文件。这次WNCRY蠕虫却是直接删原始文件,留下一线生机,所以才有机会恢复,删除文件恢复的原理,不能保证恢复所有文件,但总比没有强▼
▲找回被病毒删的文件恢复方法:使用任意文件恢复工具,多次尝试恢复电脑被删文件,不放过任意一个可恢复文件,逐个查看是否为被删的重要文件,最后备份已找回文件(此方法为找回原始文件已感染电脑可能的可行方法,如果电脑已经感染请按照以上步骤测试是否可行)
转载于:https://blog.51cto.com/12218973/2395952