腾讯安全反病毒实验室解读“Wannacry”勒索软件

背景

针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞。在 NSA 泄漏的文件中,WannaCry 传播方式的漏洞利用代码被称为"EternalBlue",所以也有的报道称此次攻击为"永恒之蓝"。

MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收 445 端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。

攻击流程

勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7 解密并释放文件。这些文件包含了后续弹出勒索框的 exe,桌面背景图片的 bmp,包含各国语言的勒索字体,还有辅助攻击的两个 exe 文件。这些文件会释放到了本地目录,并设置为隐藏。

其中 u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过 Windows Crypto

API 进行 AES+RSA 的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的 decrypt,会弹出解密的框。

但必须付钱后,才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

防范建议

利用 Windows 系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。下面以 Windows

7 通过图例简单介绍一下,如何关闭 445 端口。

1. 打开控制面板点击防火墙

2. 点击"高级设置"

3. 先点击"入站规则",再点击"新建规则"

4. 勾中"端口",点击"协议与端口"

5. 勾选"特定本地端口",填写 445,点击下一步

6. 点击"阻止链接",一直下一步,并给规则命名后,就可以了。

另外,也可以通过升级微软补丁来阻止攻击。

via:腾讯科技

原文链接:

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

Linux下的8个开源安全工具,再也不怕黑客啦

在计算机的发展史上,恶意软件和病毒攻击层出不穷。Linux的安全问题始终未能在大众范围里引起注意。但对于专业人士而言,Linux系统上的攻击虽然隐藏在水面之下,...

760
来自专栏AI研习社

GitHub 到底为啥这么受欢迎,我们为你整理一份使用攻略

GitHub,全世界开发者的安全空间,在这里,你可以分享你的代码为大家所用,也可以和全世界的开发者一起共建完善你的代码。在这里,你可以学习借鉴前辈的经验快速提升...

832
来自专栏DevOps时代的专栏

移动端持续集成的落地

我今天给大家分享的主题主要是移动端持续集成的移动端落地。先给大家介绍一下我的一些背景,大概做了十年左右的软件的质量研发,还有DevOps 的一些工作。然后经历了...

571
来自专栏知晓程序

重新安装微信后,小程序还在吗?| 小程序问答 #50

很多人换手机、重置手机后,都需要重新安装微信。那么,微信被重置后,小程序究竟还在不在呢?

1233
来自专栏小黄人打代码

你想拥有自己的微信公众号吗?戳这里

1324
来自专栏進无尽的文章

基础篇-申请开发者账号

我思故我在,下面就总结下我对 iOS开发者账号的申请中所认为的关键点和所以然,而不单单是网上那些方法步骤哦。 苹果开发者账号分三种。

1481
来自专栏顶级程序员

微软一脸懵逼:32TB的Win10源码泄露!

综合自:36氪、 Solidot、快科技、程序猿等媒体 黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 theregister 报道,已经有多...

3727
来自专栏非著名程序员

GitHub 将为使用有漏洞开源库的开发者提供警告信息

众所周知,现在开发软件已经变得不难,因为现在软件项目通常使用大量的依赖库。开发者虽然非常容易开发项目,简单而又方便了,但是一旦上游库有 Bug 将会影响到下游软...

1976
来自专栏数值分析与有限元编程

有限元分析软件ADINA

ADINA(Automatic Dynamic Incremental Nonlinear Analysis)软件是美国ADINA R&D公司的产品,是基于有限...

1011
来自专栏Youngxj

百度网盘企业版详细的开通教程

7773

扫码关注云+社区