Wannacry勒索软件是怎么入侵电脑 运行流程分解和临时解决方案

2017-05-15 13:27 作者:电脑问题网 电脑安全 浏览:118次
  电脑问题网-电脑安全 Wannacry 勒索软件全球爆发,Wannacry勒索软件是怎么入侵电脑 Wannacry勒索软件运行流程分解和临时解决方案(全文来自安天安全研究中心

  1.概述

  安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。截止到5月13日23时,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均遭受不同程序的影响。

  据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……经过安天CERT紧急分析,判定该勒索软件是一个名称为“WannaCry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

  安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[1]中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。

  安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“WannaCry”加密用户磁盘文件;安天探海威胁检测系统,可以在网络侧有效检测针对MS17-010漏洞的利用行为;安天态势感知系统,基于有效感知全局资产脆弱性和受损态势的基础上,能快速联动做出全网追溯、补丁加固、系统免疫等响应处置,有效缩短响应时间。

  2.事件分析

  当系统被该勒索软件入侵后,弹出勒索对话框:

Wannacry 勒索病毒弹出勒索对话框
Wannacry 勒索病毒弹出勒索对话框

  加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。

Wannacry 勒索病毒加密后的文件名
Wannacry 勒索病毒加密后的文件名

  攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击 <Decrypt> 按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。

可解密数个文件
可解密数个文件

  该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

Wannacry 勒索病毒28种语言
Wannacry 勒索病毒28种语言

  该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置文件、具有加密功能的文件、窗体文件等。

 样本HASH值  功能描述
 5BEF35496FCBDBE841C82F4D1AB8B7C2
 DB349B97C37D22F5EA1D1841E3C89EB4
 F107A717F76F4F910AE9CB4DC5290594
 主程序,带有域名开关,负责利用漏洞进行传播、释放WannaCry勒索软件执行。
 7F7CCAA16FB15EB1C7399D422F8363E8
 84C82835A5D21BBCF75A61706D8AB549
 509C41EC97BB81B0567B059AA2F50FE8
 86721E64FFBD69AA6944B9672BCABB6D
 D6114BA5F10AD67A4131AB72531F02DA
 F529F4556A5126BBA499C26D67892240
 WannaCry勒索软件程序,释放Tor程序连接暗网、加密自动后缀名文件、弹出勒索窗体
 3E218283B2094D52EDC2661A8B62D7E3 (有壳VMP)
 0CB40A8A51539E2C5727C3EC87AF8A56
 7BF2B57F2A205768755C07F238FB32CC
 3503DF16479880FDF484ACE875FF3588
 B0AD5902366F860F85B892867E5B1E87
 E372D07207B4DA75B3434584CD9F3450
 FA44F2474BA1C807AD2AAE6F841B8B09
 7BF2B57F2A205768755C07F238FB32CC
 775A0631FB8229B2AA3D7621427085AD
 勒索软件窗体文件,显示勒索敲诈内容、倒计时信息、比特币购买地址、攻击者比特币钱包等信息。
 4FEF5E34143E646DBF9907C4374276F5  删除加密文件时产生的临时文件
 8495400F199AC77853C53B5A3F278F3E  负责启动勒索软件窗体文件

晒数码

热门排行

最高点击 最高回复 最新
回到顶部