电脑管家 > 安全看点 > 腾讯安全反病毒实验室解读“Wannacry”勒索软件

腾讯安全反病毒实验室解读“Wannacry”勒索软件

2017-05-18 10:43 来源:未知 作者:腾讯电脑管家
【文章摘要】针对昨日英国医院被攻击,随后肆虐中国高校的WannaCry勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。
  针对昨日英国医院被攻击,随后肆虐中国高校的WannaCry勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。
 
  MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。高校网络环境大多没有对445端口做防范处理,这也是导致这次高校成为重灾区的原因之一。
 
攻击流程
  勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。
 
 
  其中u.wnry*就是后续弹出的勒索窗口。
 

 
  窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。
 

 
  通过分析病毒,可以看到,以下后缀名的文件会被加密:
docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.
ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.
602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.
vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.
mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.
vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.
sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.
max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der

 

 
  以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY
 

 
  此时如果点击勒索界面的decrypt,会弹出解密的框。
 

 
  但必须付钱后,才可以解密。
 

 
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
 
  作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

防范建议
 
  利用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。下面以Windows 7通过图例简单介绍一下,如何关闭445端口。
 
1. 打开控制面板点击防火墙
 

 
2. 点击“高级设置”
 

 
3. 先点击“入站规则”,再点击“新建规则”
 

 
4. 勾中“端口”,点击“协议与端口”
 

 
5. 勾选“特定本地端口”,填写445,点击下一步
 

 
6. 点击“阻止链接”,一直下一步,并给规则命名后,就可以了。
 

 
  另外,也可以通过升级微软补丁来阻止攻击。除此之外,电脑管家实时安全保护已兼顾漏洞防御和主动拦截。请保持腾讯电脑管家开启状态,并尽快使用“漏洞修复”功能进行扫描修复。
 



 
【关键词】腾讯电脑管家  永恒之蓝  445端口  WannaCry

 

电脑管家V12.5

文档守护者,全面粉碎勒索病毒!

勒索病毒实时防御、主动拦截!

详情>>

版本更新:2017.5.13