专栏首页云资讯小编的专栏腾讯安全反病毒实验室解读“Wannacry”勒索软件

腾讯安全反病毒实验室解读“Wannacry”勒索软件

背景

针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞。在 NSA 泄漏的文件中,WannaCry 传播方式的漏洞利用代码被称为"EternalBlue",所以也有的报道称此次攻击为"永恒之蓝"。

MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收 445 端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。

攻击流程

勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7 解密并释放文件。这些文件包含了后续弹出勒索框的 exe,桌面背景图片的 bmp,包含各国语言的勒索字体,还有辅助攻击的两个 exe 文件。这些文件会释放到了本地目录,并设置为隐藏。

其中 u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过 Windows Crypto

API 进行 AES+RSA 的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的 decrypt,会弹出解密的框。

但必须付钱后,才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

防范建议

利用 Windows 系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。下面以 Windows

7 通过图例简单介绍一下,如何关闭 445 端口。

1. 打开控制面板点击防火墙

2. 点击"高级设置"

3. 先点击"入站规则",再点击"新建规则"

4. 勾中"端口",点击"协议与端口"

5. 勾选"特定本地端口",填写 445,点击下一步

6. 点击"阻止链接",一直下一步,并给规则命名后,就可以了。

另外,也可以通过升级微软补丁来阻止攻击。

via:腾讯科技

原文链接:

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 美国NSA泄漏又起风浪?无敌黑客组织被入侵背后的故事

    如果要写一部黑客入侵史,发生在去年8月份的“方程式”组织被入侵事件一定会被载入史册。而就在前几天,这起泄漏事件又有了余波……故事,且让我们从头讲起。

    腾讯方舟
  • 咱妈说别乱点链接之浅谈CSRF攻击

    平时经常听到人们说别乱点链接,小心有病毒。还有长辈们转发的“天呐~XXX的阴谋,全是病毒”、“XXX惊天大病毒,点了苹果手机就要爆炸!”、“现在转发热门连接会乱...

    serena
  • 我们需要更多“网络游侠”

    目前网络安全人才不足,既有供不应求的原因,也和人才培养模式相关。“白帽子”黑客们的工作究竟有哪些神秘之处?如何让他们更好地发挥专长,守护网络使用安全?小编带您走...

    云资讯小编
  • 腾讯云鼎实验室Killer:面对“想哭”勒索软件,你不知道的几件事儿

    比特币勒索软件究竟为什么会在全球大规模爆发?给我们敲响了什么警钟?国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer(董志强)进行了专访,一起来听听...

    云资讯小编
  • 蜀九香官网恐遭冒充 不注重保护域名

    “九儿家大业大,居然连官网都有人冒充了好气好气好气...蜀九香官方网站域名为www .shujiuxiang.com哦!!!”

    躲在树上的域小名
  • 遇到 DDoS 怎么办?老司机给你支个招

    我由于协助一些公益网站做优化的关系,跟一些小黑客也有过几次小对抗,我来讲讲作为安全门外汉对这个问题的粗浅认识。

    黄希彤
  • 关于病毒Wanna Cry的预防和解决方案(开发者投稿)

    Wanna Cry 蠕虫病毒肆虐,你有没有被勒索?本文作者与你分享了几招临时性的应对方案,不妨试一试。

    YingJoy_
  • WannaCry 勒索病毒数据恢复指引

    受 WannaCry 勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。我们在13号媒体采访时提到,可使用数据恢复软件通...

    云鼎实验室
  • 一行代码,一个系统!您的 Crash 实时分析已上线

    腾讯移动分析(MTA),将内部打磨多年的 Crash分析能力对外输出,在复杂的App生态下,专注于构建完善的质量体系,助力 App 研发者用一行代码拥有完整 C...

    腾讯大数据

扫码关注云+社区

领取腾讯云代金券