国内影响已扩散,Wannacry蠕虫勒索软件袭击全球(含修复方案)

5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。

一旦电脑感染了Wannacry病毒,受害者要高达300美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。

研究人员还发现了大规模恶意电子邮件传播,以每小时500封邮件的速度传播杰夫勒索软件,攻击世界各地的计算机。

大量国内高校中招,其他行业也受到影响

5月12日晚,国内有不少高校学生反映电脑被恶意的病毒攻击,文档被加密。

勒索者源头来自暗网,攻击具备兼容性、多语言支持,多个行业受到影响,国内的ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。据报道,今日全国多地的中石油加油站无法进行网络支付,只能进行现金支付。中石油有关负责人表示,怀疑受到病毒攻击,具体情况还在核查。而截至目前,一些公安系统已经遭到入侵。

勒索软件利用NSA爆出的漏洞迅速传播

软件利用美国国家安全局黑客武器库泄露的ETERNALBLUE(永恒之蓝)发起病毒攻击。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,实现远程命令执行。 蠕虫软件正是利用 SMB服务器漏洞,通过2008 R2渗透到未打补丁的Windows XP版本计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。

事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。

全球受攻击情况

仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招。且攻击仍在蔓延。

据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织, 11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。

Wana-Decrypt0r-WannaCry-勒索软件

来自英国、西班牙、意大利等多个国家的用户在网上分享了被攻击的截图。据报道,Wannacry相关的比特币钱包已经开始填充现金。

西班牙计算机应急组织还针对WannaCry发布了警告:”WannaCry勒索软件侵入计算机,将文件加密并通过SMB执行远程命令。现在已经侵入了其他Windows系统的机器。”

目前还不清楚WannaCry的幕后黑手到底是谁。但大部分攻击来自钓鱼邮件,或是受害者访问的含有恶意软件的网站。早在今年二月,WannaCry的前身WeCry就已发起过攻击,向用户勒索比特币。

解决方案

该攻击涉及MS17-010漏洞,我们可以采用以下方案进行解决

漏洞名称:

Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)

包含如下CVE:

CVE-2017-0143 严重 远程命令执行 CVE-2017-0144 严重 远程命令执行 CVE-2017-0145 严重 远程命令执行 CVE-2017-0146 严重 远程命令执行 CVE-2017-0147 重要 信息泄露 CVE-2017-0148 严重 远程命令执行

漏洞描述:

SMBv1 server是其中的一个服务器协议组件。

Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。

远程攻击者可借助特制的数据包利用该漏洞执行任意代码。

以下版本受到影响:

Microsoft Windows Vista SP2 Windows Server 2008 SP2和R2 SP1 Windows 7 SP1 Windows 8.1 Windows Server 2012 Gold和R2 Windows RT 8.1 Windows 10 Gold 1511和1607 Windows Server 2016

解决方法:

1.防火墙屏蔽445端口

2.利用 Windows Update 进行系统更新

3.关闭 SMBv1 服务

3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于客户端操作系统:

打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

重启系统。

3.2 对于服务器操作系统:

打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。

在“功能”窗口中,清除“SMB 1.0/CIFS

文件共享支持”复选框,然后单击“确定”以关闭此窗口。

重启系统。

3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表

注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建项︰ SMB1,值0(DWORD)

重新启动计算机

关于影响的操作系统范围和对应的补丁号码详情请见:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

勒索病毒中招尝试解决方案

方法一:

1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址) 2:把copy粘贴到btc.com (区块链查询器) 3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值) 4:把txid 复制粘贴给 勒索软件界面按钮connect us. 5:等黑客看到后 你再点击勒索软件上的check payment. 6:再点击decrypt 解密文件即可。

方法二:

下载开源的脚本(需要python3环境)来运行尝试恢复。

下载链接:https://github.com/QuantumLiu/antiBTCHack

END

版权声明:

转载文章均来自公开网络,仅供学习使用,不会用于任何商业用途,如果出处有误或侵犯到原作者权益,请与我们联系删除或授权事宜,联系邮箱:holly0801@163.com。转载大数据公众号文章请注明原文链接和作者,否则产生的任何版权纠纷与大数据无关。

原文发布于微信公众号 - 大数据(hzdashuju)

原文发表时间:2017-05-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ytkah

微信服务号模板消息接口新增"设置行业"和"添加模板"及细节优化

  微信服务号模板消息可以向用户发送重要的服务通知,如信用卡刷卡通知,商品购买成功通知等。昨日,微信团队发布公告称模板消息新增“设置行业”和“添加模板”接口及细...

1.1K8
来自专栏安恒信息

如何保护计算机不被恶意软件勒索

英国国家犯罪局已经发出了国家紧急警报,1千万英国用户被Cryptolocker勒索软件瞄准,这种恶意软件限制被感染的计算机,并要求受害者支付赎金后返还控制权。 ...

3356
来自专栏黑白安全

如何劫持大疆Spark无人机

对于我们每个人来说,被犯罪分子骗走血汗钱那肯定是件很悲伤的事。随着物联网(IoT)的快速发展,可远程控制的设备已成为我们日常生活中不可或缺的一部分。但在享受方便...

4812
来自专栏FreeBuf

国内影响已扩散,利用“NSA武器库”中漏洞的Wannacry蠕虫勒索软件袭击全球(含修复方案)

5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件是一种蠕...

25410
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-17银企对账-客户收款-承兑汇票-帐户对帐单的重新处理

4.5.5 FEBA_BANK_STATEMENT帐户对帐单的重新处理 查看生成财务凭证 ? ? ? 自动生成了收款凭证并清帐 借:银行存款10020200 ...

3184
来自专栏编程思想之路

Android6.0源码分析之录音功能(一)

Android源码录音功能说起来似乎也很简单,只不过就是一个录音的功能然后进行了一个保存的操作。为什么要研究这个呢?毕竟现 在语音通话、直播亦或者是语音助手比...

4198
来自专栏黑白安全

黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和...

1041
来自专栏腾讯研究院的专栏

新形势下,互联网金融发展与监管问题研究

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?...

2085
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–含客户预付款的销售订单处理(201)-3开票

一、VA02销售订单变更(移除开票冻结) 在此活动中,移除销售订单的开票冻结。 必须手动移除开票冻结才能处理第一个预付款请求。 后勤® 销售和分销 ® 销售® ...

5857
来自专栏域名资讯

森马集团童装品牌启用四拼域名balabala.com

巴拉巴拉(Balabala)是中国森马集团2002年在香港创建的童装品牌,目前产品已全面覆盖0-16岁儿童的服装、童鞋、配饰品类。

1630

扫码关注云+社区

领取腾讯云代金券