• 正在加载中...
  • WannaCry

    WannaCry,一种电脑软件勒索病毒。此次勒索病毒事件给联邦快递西班牙电信等大公司,以及英国国家医疗服务体系(NHS)造成了严重影响。NHS多家医院的运营已暂停,X光机无法使用,检测报告和患者医疗记录无法获取,而电话也难以接通。

    编辑摘要

    基本信息 编辑信息模块

    中文名: 永恒之蓝 英文名: WannaCry
    属性: 病毒 发现时间: 2017年5月

    目录

    简介/WannaCry 编辑

    WannaCryWannaCry
    根据美联社、英国标准晚报等多家媒体报道,一种名为WannaCry的电脑勒索病毒正在全球蔓延,99个国家受到病毒感染。最严重的地区集中在美国、欧洲、澳洲等地区,目前也已由国外进入中国。
    #注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#
    而朝鲜在这大范围的攻击下逃过一劫,守住了一方净土。
    这款勒索病毒主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。根据360的统计显示,该病毒昨日夜间每小时攻击次数达到4000次。
    根据网络安全机构通报显示,永恒之蓝是NSA网络军火库民用化第一例。它会自动扫描445文件共享端口的Windows机器,无需用户任何操作,就可以将所有磁盘文件加密、锁死,后缀变为.onion,随后,黑客可以远程控制木马,向用户勒索“赎金”。
    “赎金”需要以比特币的形式支付。虚拟货币支付形式分散、难以追踪,所以非常受黑客欢迎。
    根据BBC与CNN的报道显示,昨天英国本土超过16家医院受到大规模黑客攻击,系统瘫痪,既定的手术被迫取消,救护车也被迫转往其他医院。黑客要求医院支付价值300美金比特币,才可获取密钥,并重新打开文件。如果三天之内仍未完成支付,赎金将翻倍。
    而中国的蠕虫病毒感染重灾区集中在高校。据悉,目前全国范围内有数十所高校的校园网感染了这一病毒,而正值毕业季,许多学生的毕业论文和设计都因感染病毒而被锁死。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击。
    黑客凯文在微博文章中解释了国内教育网首当其冲的原因,由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。
    不仅教育网被攻击,公安局域网络也没能逃过一劫。苏州地区目前已经无法办理车辆检测、上牌照等业务,响水地区出入境办理也需要暂缓。
    病毒通过教育网、公安内网可以大范围快速传播。在小范围的互联网内,一旦有某一个人没有封掉445端公口、或者没有给Windows打补丁,那么整个区域内的电脑都会被病毒感染。
    而作为个人用户一旦感染此病毒,千万不要给钱,因为即便交了赎金,文件也可能无法恢复。只能在把硬盘低格后,重新安装操作系统。

    攻击对象/WannaCry 编辑

    勒索病毒一般会攻击任何人,但一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。

    传播途径/WannaCry 编辑

    勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。

    分析/WannaCry 编辑

    经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
    安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[1]中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。
    安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。
    安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。

    病毒规律/WannaCry 编辑

    该类型病毒的目标性强,主要以邮件为传播方式。
    勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。
    该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。

    病毒分析/WannaCry 编辑

    一般勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为:
    1、调用加密算法库;
    2、通过脚本文件进行Http请求;
    3、通过脚本文件下载文件;
    4、读取远程服务器文件;
    5、通过wscript执行文件;
    6、收集计算机信息;
    7、历文件。

    调查处理/WannaCry 编辑

    欧洲警察署正在与美国联邦调查局(FBI)合作展开调查。英国国家犯罪局正在与欧洲刑警组织以及英国政府通信总部(GCHQ)的国家网络安全中心进行合作,追踪犯罪者。
    虽然下黑手者目前还找不到,但其所用的工具,却明确无误地指向了一个机构——NSA(National Security Agency),美国国家安全局。这一机构又称国家保密局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。黑客所使用的“永恒之蓝”,就是NSA针对微软MS17-010漏洞所开发的网络武器。
    NSA本身手里握有大量开发好的网络武器,但在2013年6月,“永恒之蓝”等十几个武器被黑客组织“影子经纪人”(ShadowBreakers)窃取。
    2017年3月,微软已经放出针对这一漏洞的补丁,但是一是由于一些用户没有及时打补丁的习惯,二是全球仍然有许多用户在使用已经停止更新服务的WindowsXP等较低版本,无法获取补丁,因此在全球造成大范围传播。加上“蠕虫”不断扫描的特点,很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。[1]

    处理方法/WannaCry 编辑

    Win7、Win8、Win10的处理流程
    1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。
    2、选择启动防火墙,并点击确定
    3、点击高级设置
    4、点击入站规则,新建规则
    5、选择端口,下一步
    6、特定本地端口,输入445,下一步
    7、选择阻止连接,下一步
    8、配置文件,全选,下一步
    9、名称,可以任意输入,完成即可。
    XP系统的处理流程
    1、依次打开控制面板,安全中心,Windows防火墙,选择启用
    2、点击开始,运行,输入cmd,确定执行下面三条命令:net stop rdr 、net stop srv 、net stop netbt

    运行流程/WannaCry 编辑

    该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成秘钥,进而实现对指定类型的文件进行加密,即无需联网下载秘钥即可实现对文件加密。
    同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。

    波及范围/WannaCry 编辑

    国内

    2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播。随后,山东大学、南昌大学、广西师范大学、东北财经大学等十几家高校发布通知,提醒师生注意防范。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。
    中石油所属部分加油站运行受到波及。5月13日,包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网,因断网无法刷银行卡及使用网络支付,只能使用现金,加油站加油业务正常运行。
    截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。
    2017年5月15日,珠海市公积金中心下发了《关于5月15日暂停办理住房公积金业务的紧急通知》,为有效应对Windows操作系统敲诈者病毒在互联网和政企专网大面积蔓延,对住房公积金业务数据和服务终端资料可能造成的安全威胁,珠海市住房公积金管理中心决定加固升级内外网络,暂停办理所有住房公积金业务。
    陕西部分地市的交通管理网络也受到了勒索病毒爆发的影响,暂停了业务办理。此外,部分地区因“系统维护”发布相关通知,暂停办理交管、出入境等业务。

    国外

    2017年5月13日,全球多地爆发“WannaCry”勒索病毒,受影响的包括英国16家医院(截止北京时间2017年5月13日5点)。[2]

    俄罗斯:内政部称约1000台Windows计算机遭到攻击,但表示这些计算机已经从该部门计算机网络上被隔离。
    英国:2017年5月13日,全球多地爆发“WannaCry”勒索病毒,受影响的包括英国16家医院(截止北京时间5月13日5点)。
    朝鲜:在这大范围的攻击下逃过一劫,守住了一方净土。
    日本:日本警察厅当天表示在该国国内确认了2起,分别为某综合医院和个人电脑感染病毒,并未造成财产损失。尚不清楚日本的案例是否包含在这150个国家中。
    西班牙:国家情报中心证实,西班牙多家公司遭受了“大规模”的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

    添加视频 | 添加图册相关影像

    参考资料
    [1]^引用日期:2017-06-13
    [2]^引用日期:2017-05-15

    互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。

    登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。

    互动百科用户登录注册
    此词条还可添加  信息模块

    WIKI热度

    1. 编辑次数:13次 历史版本
    2. 参与编辑人数:4
    3. 最近更新时间:2017-06-28 11:43:09
    立即申请荣誉共建机构 申请可获得以下专属权利:

    精准流量

    独家入口

    品牌增值

    广告

    相关词条

    编辑