首页 > 代码库 > 勒索蠕虫-WanaCrypt0r(比特币病毒)防治攻略和事件全回顾
勒索蠕虫-WanaCrypt0r(比特币病毒)防治攻略和事件全回顾
1 事件背景
======
2017年5月12日星期五,全球近100个国家(中国、西班牙、意大利、葡萄牙、俄罗斯、乌克兰)的,多个行业机构的电脑感染名为WannaCry0r的勒索软件。目前据报道英国医疗、德国火车站、中国各大学教育网及内网、中国公共行业自助设备等均已经感染WannaCry0r的勒索软件。WannaCry0r勒索软件支持28种不同的语言,加密179种不同类型的文件,并要求受害者使用比特币汇款(300美金- 600美金),以解密被加密等数据文件。
点击查看最新的攻击地图
攻击地图查看链接
2.什么是勒索蠕虫
勒索病毒是由黑客利用了 Windows 电脑上一个关于文件分享的 MS17-010 漏洞而产生的。微软现在已经停止对XP 和 Vista 两个系统提供安全更新,而国内使用 XP 的用户又不在少数,因此这类用户很容易被黑客利用该漏洞进行突破。其实,微软早在两个月前就发布了针对该漏洞的安全更新,而很多用户没有及时打补丁的习惯,这也给了黑客可乘之机。
勒索病毒的作用是破坏你的电脑文件。不过这种破坏是可逆的,黑客可以帮你把破坏的文件还原回去,当然你需要付给黑客一笔费用才行。黑客为了增加震慑效果,还对受害者给出一定的期限,超过期限费用将成倍增长,甚至停止给用户提供恢复服务。
由于勒索病毒破坏过程中对电脑进行了 RSA 加密。这种加密方式只要加密密钥足够长,用户几乎是不可能破解的。一般来说,这类病毒密钥位数长达2048,传统电脑需要数十万年才能够破解。所以一旦电脑中毒,基本没有挽回余地。
3.勒索蠕虫攻击是谁干的?
最新消息,这次攻击始作俑者是美国一位高中生,在缅因州波特兰高中,FBI已经在路上,如果他没有价值的话,就会上新闻了,这货真强,犯了大忌,触犯了黑客联盟的宗旨:“不对学生下手,也不针对任何盈利组织”惹出了全球170多万黑客在线找,首当其冲的是俄罗斯黑客。现在从FBI,到国家安全局,到全球黑客都在通缉。
4.勒索蠕虫影响范围
(1)世界范围
(2)国内感染情况
(3)高校感染情况
5.勒索蠕虫的攻击原理
这个病毒会扫描开放 445 文件共享端口的 Windows 设备,只要你的设备处于开机上网状态,黑客就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
攻击流程图
6.勒索蠕虫的后门开关
化名Malware Tech(简称MT)的网络安全人员在分析这类病毒时注意到,病毒在感染每一台新电脑时,都会尝试连接到一个特定的网址。然而,这个由一长串字母组成、仿佛是随手按键盘打出来的网址,竟然没有被注册过。
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
随后,MT查看了病毒代码,并从中找出了这样的语句:
也就是说,病毒在感染一台计算机时,会尝试连接该域名。如果解析失败,则继续感染;如果解析成功(该域名被人注册了),则会退出程序、停止感染。这正是控制勒索病毒的开关!
那个网络安全小哥无意间的一注册,
万万没想到 ,
触发了病毒作者留给自己的紧急停止的开关…..
事后,小哥自己在twitter上自嘲道…
“我坦白,在我注册这个域名之前,完全不知道他能停止这次病毒的传播… 这发现完全意外…”
7.勒索蠕虫防御措施
(1)立即断网,并使用移动储存设备(如 U 盘、移动硬盘)备份重要资料,关闭445端口
关闭端口的教程如下:
1.1 Win7、Win8、Win10的处理流程
1)关闭网络
2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
3)选择启动防火墙,并点击确定
4)点击高级设置
5)点击入站规则,新建规则,以445端口为例
6)选择端口、下一步
7)选择特定本地端口,输入445,下一步
8)选择阻止连接,下一步
9)配置文件,默认全选,下一步
10)设置名称,可以任意输入,完成即可。
11)恢复网络
12)开启系统自动更新,并检测更新进行安装
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。
1.2 XP系统的处理流程
1)依次打开控制面板,安全中心,Windows防火墙,选择启用。
2)通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
3)找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
4)将DWORD值命名为“SMBDeviceEnabled”,值修改为0。
5)重启机器,查看445端口连接已经没有了。
6)安装微软总部针对该漏洞(MS17-010)发布的特别补丁[5]。
(2)安装各大厂商的防御工具
360的出品的免疫工具
http://dl.360safe.com/nsa/nsatool.exe
腾讯出品的免疫工具
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe
腾讯出品的免疫工具
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe
瑞星出品的免疫工具
http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
智安全Wannacry免疫工具
http://sec.sangfor.com.cn/download?file=WannaCryTool.zip
(3)企业网管的应对策略
应该在企业出口网关上启用过滤策略,屏蔽互联网445端口的扫描,屏蔽内网低安全区域的445端口扫描
网络出口防火墙应用威胁情报检查或屏蔽指示器。
在企业内部的交换机上,启用ACL规则
屏蔽135、139、445等风险端口
具体命令咨询对应厂商技术人员
(4)临时方案关闭共享服务(即可关闭445端口开放),防止被攻击
sc stop LanmanServer
sc stop Browser
sc config LanmanServer start= disabled
sc config Browser start= disabled
(5)应用MS17-010补丁
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
(6)安装杀毒软件并升级到最新病毒库
8.感染勒索蠕虫之后的数据恢复策略(首先记得祈祷)
(1)360发布的数据恢复工具
360首发勒索蠕虫病毒文件恢复工具
https://dl.360safe.com/recovery/RansomRecovery.exe
(2)针对企业
已被感染的计算机请立即隔离,禁用所有有线及无线网卡或直接拔掉网线。
9.这次事件的反思
(1)备份是个好习惯
(2)目前国内波及范围最广的是中国的教育系统,各大高校,公安内网系统,铁路交通管理系统,以及一些政府企事业的系统等。
这些单位很多都是用的XP系统,迫切需要升级,不能再使用过去老旧的基于IE开发的管理系统,而且我们公务和行政人员也要具有一定的网络安全意识,防微杜渐。而且还有相关的外包厂商会迎来一个大单子。(偷笑)
参考:
https://mp.weixin.qq.com/s?__biz=MjM5NDkxMTgyNw==&mid=2653058762&idx=1&sn=ee6ad2d29557baca04cafea0db9afff4&chksm=bd5655f68a21dce03fbc2811ce45d4c6c6ca8fe7e20bf750c5339b2c33ca6e9f8d75ccd85932&mpshare=1&scene=1&srcid=0513eoIHLK2GnBaDEtsKv8AT&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MzI5NzU0MjgzNA==&mid=2247484584&idx=1&sn=484841b51b0173afb99b34444703b64b&chksm=ecb23175dbc5b8637f2c389d6a9716b30ca4c3c11fc118b83e02930172dcd8882a56f297177c&mpshare=1&scene=1&srcid=0514mWImnzFLHjnQtaLqh8zh&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MzI3MzAzNDAyMQ==&mid=2657596878&idx=1&sn=7db1c4354a7f56c493fbb2225eaa1fbf&chksm=f0ba6b84c7cde292cae5e088e736565bf9594306ce202c10183b1e5ad84a78d144f79bb743b0&mpshare=1&scene=1&srcid=0514scV04O6gCXEehU9nBw5F&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MzIwODIxMjc4MQ==&mid=2651003672&idx=1&sn=3a99273a1df3db7326dadd0bea064347&chksm=8cf13d5abb86b44c23bded0a383b9a1fba02fc47594a59a89eec64a72ce848c8b506d10f5dd3&mpshare=1&scene=1&srcid=0513NnHJVoFYjugZNFhrKsrh&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MjM5NTgzODkxMw==&mid=2651059537&idx=1&sn=730f088dc066c7f4097663eae7d38309&chksm=bd053bff8a72b2e9701ba2cc14c61ed360432f611226060d469a61637e6161dc49be72c10739&mpshare=1&scene=1&srcid=0513kFI6dkBPKywHJ1D0iyxQ&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MzI3MzAzNDAyMQ==&mid=2657596878&idx=1&sn=7db1c4354a7f56c493fbb2225eaa1fbf&chksm=f0ba6b84c7cde292cae5e088e736565bf9594306ce202c10183b1e5ad84a78d144f79bb743b0&mpshare=1&scene=1&srcid=0514scV04O6gCXEehU9nBw5F&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650442228&idx=1&sn=99a62fb4ac03aec7c13151ee0995f52c&chksm=83bbec10b4cc65069407fb89d95ddb88f2ec2364ce71fcec0a82cca6c23dbcfcb49c63549ccf&mpshare=1&scene=1&srcid=0514ClIAwupSQ2cQvdJ6hiWN&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
https://mp.weixin.qq.com/s?__biz=MzI5NzU0MjgzNA==&mid=2247484584&idx=1&sn=484841b51b0173afb99b34444703b64b&chksm=ecb23175dbc5b8637f2c389d6a9716b30ca4c3c11fc118b83e02930172dcd8882a56f297177c&mpshare=1&scene=1&srcid=0514mWImnzFLHjnQtaLqh8zh&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd
勒索蠕虫-WanaCrypt0r(比特币病毒)防治攻略和事件全回顾