腾讯安全反病毒实验室解读“Wannacry”勒索软件

背景

针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞。在 NSA 泄漏的文件中,WannaCry 传播方式的漏洞利用代码被称为"EternalBlue",所以也有的报道称此次攻击为"永恒之蓝"。

MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收 445 端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。

攻击流程

勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7 解密并释放文件。这些文件包含了后续弹出勒索框的 exe,桌面背景图片的 bmp,包含各国语言的勒索字体,还有辅助攻击的两个 exe 文件。这些文件会释放到了本地目录,并设置为隐藏。

其中 u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过 Windows Crypto

API 进行 AES+RSA 的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的 decrypt,会弹出解密的框。

但必须付钱后,才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

防范建议

利用 Windows 系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。下面以 Windows

7 通过图例简单介绍一下,如何关闭 445 端口。

1. 打开控制面板点击防火墙

2. 点击"高级设置"

3. 先点击"入站规则",再点击"新建规则"

4. 勾中"端口",点击"协议与端口"

5. 勾选"特定本地端口",填写 445,点击下一步

6. 点击"阻止链接",一直下一步,并给规则命名后,就可以了。

另外,也可以通过升级微软补丁来阻止攻击。

via:腾讯科技

原文链接:

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

暴雪游戏存在DNS重绑定漏洞可导致玩家电脑被远程劫持

谷歌安全研究员Tavis Ormandy发现暴雪游戏存在一个严重漏洞,攻击者利用该漏洞针对游戏玩家电脑可实现远程恶意代码执行。“魔兽世界”、“守望先锋”、“暗黑...

1748
来自专栏安恒信息

如何保护计算机不被恶意软件勒索

英国国家犯罪局已经发出了国家紧急警报,1千万英国用户被Cryptolocker勒索软件瞄准,这种恶意软件限制被感染的计算机,并要求受害者支付赎金后返还控制权。 ...

3156
来自专栏FreeBuf

漏洞导致Windows系统崩溃,硬件专家公布PoC利用码

Bitdefender 公司的研究员 Marius Tivadar 在 GitHub 上发布了一段 PoC 代码,即便在计算机被锁的情况下也能在几秒内导致 Wi...

912
来自专栏安恒信息

Oracle WebLogic安全漏洞预警

安恒信息 网络安全前沿资讯、 应急响应解决方案、技术热点深度解读 漏洞安全公告 2018年4月17日,Oracle官方发布了2018年4月安全更新公告,包含了其...

3585
来自专栏安恒信息

一些APT攻击案例分享

2014年我们所知的所有网络攻击,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增...

3265
来自专栏安恒信息

安恒紧急漏洞预警: Linux Glibc溢出漏洞凶猛来袭

GNU glibc 标准库的gethostbyname函数爆出缓冲区溢出漏洞,漏洞编号:CVE-2015-0235,该漏洞可以让攻击者直接远程获取操作系统的控制...

3255
来自专栏FreeBuf

OpenSSL心脏出血漏洞全回顾

近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的...

2095
来自专栏Hongten

未曾谋面却完成了短信发送功能_API是个好中介

申请到了账号了以后,如果你只希望网页版的短信发送,可以在http://ms.139130.net/进行登录,然后就可以进行短信发送了。

843
来自专栏安恒信息

安恒信息APT产品监控到持续性有组织的 “基于破壳漏洞的跨平台攻击”

日前,安恒信息在某政府机构网络中部署的APT产品监控到了多次“CVE-2014-6271 bash远程命令执行漏洞”告警,攻击源来自意大利、台北、奥地利、挪威、...

3527
来自专栏安恒信息

邮箱安全服务专题第5期 | 邮箱APT检测分析关键技术

上一期我们介绍了钓鱼邮件的常规检测方法,其实,无论采用怎么样的方式,人的安全意识永远都是第一位,纵使钓鱼邮件写得多么诱人深入人心,只要我们守住底线,点击之前先思...

2866

扫码关注云+社区