关于新型勒索病毒“永恒之蓝”的紧急应对措施

供稿: 本站       责任编辑:        发布时间: 2017-05-13       阅读:

[活动概述]

2017年5月12日晚,世界上发生了大规模的勒索软件感染。一种名为永久性蓝赎金病毒的蠕虫病毒传播到近100个国家,包括英国,美国,中国,俄罗斯,西班牙和意大利。大约75,000台计算机被感染。在国内多校区内联网,大型企业内部网和私人网络中的政府机构中,危害仍在继续迅速扩大。该病毒会加密计算机和服务器上几乎所有类型的文件。加密文件后缀统一修改为“.WNCRY”,受感染者只能通过支付高额赎金(某些比特币)来解密数据和数据。

图1勒索软件界面

[软件名称]

WannaCrypt,WannaCry,WanaCrypt0r,WCrypt,WCRY

[使用原则]

其全球大量主机快速感染的原因是基于445端口传播扩散利用了SMB漏洞MS17-101。微软今年3月发布了针对此漏洞的补丁。 2017年4月14日黑客组织Shadow Brokers发布的Equation Group使用的“Network Arms”包含漏洞的利用,勒索软件的攻击者或攻击组织借用了“网络弹药”。这种全球性的大规模攻击。

[影响范围]

图2全球445端口开放状态分布

图3全球赎金病毒感染状况的分布

[软件分析]

该软件使用打开的445文件共享端口扫描Windows计算机,无需任何用户操作。只要互联网开启,犯罪分子就可以在计算机和服务器中植入恶意程序,如勒索软件,远程控制特洛伊木马和虚拟货币挖掘机。当系统被勒索软件入侵时,系统中将加密近180种类型的文件,如.doc,.docx,.xls,.xlsx等,后缀名称将统一更改为“.WNCRY” 。

这种大规模感染是通过蠕虫进行部署的,蠕虫是一种常见的计算机病毒,它利用网络将自己的功能或部分内容的副本传播到其他计算机系统,这样一切都与受感染的主机有一个网络。连接的设备将被感染。因此,蠕虫危害受到具有Intranet环境的企业,校园和公用事业等组织的影响。受感染内网的重要文件和数据已经过加密,严重影响了企业,校园,公用事业等组织的正常业务执行,造成了巨大的数据泄露和信息破坏。

早在今年4月19日,公式组织工具包就被重新披露,其中包括影响多个Windows操作系统的多个Windows漏洞利用工具。针对端口漏洞(如Windows服务器上的25,88,139,445和3389)远程执行此漏洞。最重要的是端口445和3389.相应的Windows漏洞和补丁信息如下所示:

由于某些组织并未意识到该漏洞的巨大危害,因此未能采取有效的保护措施,黑客利用此漏洞攻击并感染其内部网中的勒索软件。

在漏洞远程执行勒索病毒后,将从资源文件夹中释放压缩包。压缩包将通过密码解密并释放内存中的文件:WNcry @ 2ol7,并隐藏自身。病毒加密详细信息:

(1)使用AES-128-CBC模型加密数据(加密代码是自我实现的)

(2)AES密钥由CSPRNG生成

(3)AES密钥由RSA-2048密钥加密(实现为Windows) RSA代码)

此时无法解密加密文件。

[漏洞检测]

Microsoft提供免费检查工具:http://www.microsoft.com/security/scanner/,下载并双击运行。

360“NSA阿森纳免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,用于检测系统漏洞并关闭受漏洞影响的端口。

[修复计划]

临时修复:关闭端口445并关闭网络共享(有关详细信息,请参阅文章末尾)

建议修复:微软已发布补丁MS17-010来修复“永恒蓝”攻击的系统漏洞,打开系统自动更新,检测更新并安装,然后重启计算机。为您的计算机安装最新的安全修补程序,或手动下载并安装它们

https://technet.microsoft.com/en-us/library/security/MS17-010;对于Windows XP,2003和其他机器,除了尽快升级到窗口 除了7/Windows之外,您还可以下载XP和一些服务器版本的WindowsServer2003特别安全补丁,这些补丁刚刚从微软总部发布。

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

其他方式:360系统安全系统由企业安全团队开发,程序在计算机上运行后,现有的蠕虫不会感染系统。下载地址:https://eyun.360.cn/surl_yZ3RsYgQuvu(解压缩代码:e2ab)

具体操作方法:

首先,启用Windows防火墙并关闭端口445

方法1:下载一个按钮以禁用445端口脚本

单击www.secboot.com/445.zip下载并解压缩

右键单击“以管理员身份运行”

方法2

(1)打开控制面板,单击“系统和安全”

(2)打开Windows防火墙

(3)单击“打开或关闭Windows防火墙”

4)启用Windows防火墙,单击“确定”

(5)单击“高级设置”

(6)点击右侧的“新规则”

(7)创建“端口”规则并单击“下一步”

(8)在特定本地端口上输入“445”,单击“下一步”

(9)选择“Block Connection”并单击“Next”

(10)选择全部,单击“下一步”

(11)任意输入名称,然后单击“完成”关闭端口445.

第二,关闭网络文件共享

(1)打开“控制面板”,然后单击“网络和Internet”

(2)点击“网络和共享中心”

(3)单击“更改高级共享设置”

(4)选择“关闭文件和打印机共享”,然后单击“保存更改”

手机赌博网站-网上赌博app

网上赌博app信息安全研究所

2017年5月12日