热点推荐

查看: 1567|回复: 0
收起左侧

腾讯安全反病毒实验室解读“Wannacry”勒索软件

[复制链接]
  • TA的每日心情
    点赞
    4 小时前
  • 签到天数: 587 天

    连续签到: 4 天

    [LV.9]以坛为家II

    348

    主题

    1316

    帖子

    6432

    积分

    Rank: 9

    积分
    6432

    突出贡献优秀版主荣誉管理论坛元老切换助手验证会员最佳新人

    发表于 2017-5-13 22:17:08 | 显示全部楼层 |阅读模式

    51Halcon诚邀您的加入,专注于机器视觉开发与应用技术,我们一直都在努力!

    您需要 登录 才可以下载或查看,没有帐号?会员注册

    x
    背景
    针对昨日英国医院被攻击,随后肆虐中国高校的WannaCry勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。
    MS17-010漏洞指的是,攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。高校网络环境大多没有对445端口做防范处理,这也是导致这次高校成为重灾区的原因之一。

    攻击流程
    43695664-file_1494656887019_8137.png
    勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。
    26402242-file_1494656887145_4b4d.png
    其中u.wnry*就是后续弹出的勒索窗口。
    39961329-file_1494656887280_d852.jpg
    窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。
    95880884-file_1494656887402_baa3.jpg
    通过分析病毒,可以看到,以下后缀名的文件会被加密:。
    26151494-file_1494656887531_12a34.png
    以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY
    此时如果点击勒索界面的decrypt,会弹出解密的框。
    但必须付钱后,才可以解密
    115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
    12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
    13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
    作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

    防范建议
    利用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。下面以Windows 7通过图例简单介绍一下,如何关闭445端口。
    1.    打开控制面板点击防火墙
    2.    点击“高级设置”
    3.    先点击“入站规则”,再点击“新建规则”
    4.    勾中“端口”,点击“协议与端口”
    5.    勾选“特定本地端口”,填写445,点击下一步
    6.    点击“阻止链接”,一直下一步,并给规则命名后,就可以了。
    另外,也可以通过升级微软补丁来阻止攻击。
    除此之外,电脑管家实时安全保护已兼顾漏洞防御和主动拦截。请保持腾讯电脑管家开启状态,并尽快使用“漏洞修复”功能进行扫描修复。



    无效附件更新 权限提升操作 删帖申请 举报以及其他需要帮助请加入QQ群:214663141 广告位招商 有意者联系
    您需要登录后才可以回帖 会员登录 | 会员注册

    本版积分规则

    经营性网站备案信息 经营性网站
    备案信息

    中国互联网举报中心 中国互联网
    举报中心

    中国文明网传播文明 中国文明网
    传播文明

    诚信网站

    深圳市市场监督管理局企业主体身份公示 工商网监
    电子标识