腾讯安全反病毒实验室解读“wannacry”勒索软件

关键词：

背景

针对昨日英国医院被攻击，随后肆虐中国高校的 WannaCry 勒索事件，腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞。在 NSA 泄漏的文件中，WannaCry 传播方式的漏洞利用代码被称为"EternalBlue"，所以也有的报道称此次攻击为"永恒之蓝"。

MS17-010 漏洞指的是，攻击者利用该漏洞，向用户机器的 445 端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收 445 端口的数据。但是在中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。

攻击流程

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：[email protected] 解密并释放文件。这些文件包含了后续弹出勒索框的 exe，桌面背景图片的 bmp，包含各国语言的勒索字体，还有辅助攻击的两个 exe 文件。这些文件会释放到了本地目录，并设置为隐藏。

其中 u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框，可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过 Windows Crypto
API 进行 AES+RSA 的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的 decrypt，会弹出解密的框。

但必须付钱后，才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通过这三个账号随机选取一个作为钱包地址，收取非法钱财。

防范建议

利用 Windows 系统远程漏洞进行传播，是此次勒索软件的一大特点，也是在高校爆发的根本原因，所以开启防火墙是简单直接的方法。下面以 Windows
7 通过图例简单介绍一下，如何关闭 445 端口。

1. 打开控制面板点击防火墙

2. 点击"高级设置"

3. 先点击"入站规则"，再点击"新建规则"

4. 勾中"端口"，点击"协议与端口"

5. 勾选"特定本地端口"，填写 445，点击下一步

6. 点击"阻止链接"，一直下一步，并给规则命名后，就可以了。

另外，也可以通过升级微软补丁来阻止攻击。

via：腾讯科技

转载自https://www.qcloud.com/community/article/634316

比特币勒索病毒肆虐，腾讯云安全专家给你支招

5月12日晚，WannaCry蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道，恶意攻击者利用NSA（美国国家安全局）泄露的Windows0day利用工具对99个国家实施了超过75000次攻击。什么是比特币勒索蠕虫病毒？这次攻击的始作俑者是一款名为... 查看详情

腾讯安全团队深入解析wannacry蠕虫病毒

腾讯安全团队深入解析wannacry蠕虫病毒背景：2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密，本文对其进行详细... 查看详情

全球wannacry勒索病毒爆发背后的技术漏洞

...码及全文信息。5月12日晚，新型“蠕虫式”勒索病毒软件WannaCry在全球爆发，攻击各国政府，学校，医院等网络。我国众多行业大规模受到感染，其中教育网受损最为严重，攻击造成大量教学系统瘫痪。国内部分高校学生反映电... 查看详情

腾讯安全团队深入解析wannacry蠕虫病毒

背景：2017年5月12日，WannaCry蠕虫经过MS17-010漏洞在全球规模大迸发，传染了很多的计算机，该蠕虫传染计算机后会向计算机中植入敲诈者病毒，致使电脑很多文件被加密，这篇文章对其进行详细分析。650)this.width=650;"src="http://img.m... 查看详情

抵御wannacry勒索病毒，瑞度吹起进攻号角！

文章来自江西瑞度智能科技有限公司解读"Wannacry"  北京时间5月12日晚间，全球范围内有近百个国家遭到大规模网络攻击，一款名为WannaCry的恶意勒索软件在全世界疯狂蔓延，受攻击主机被该软件锁定大量文件并加密，并被... 查看详情

wannacry勒索病毒事件的“来龙去脉”

WannaCry勒索病毒事件的“来龙去脉” Jackzhai 一、背景：  2017年5月12日是个平静的日子，大家都高高兴兴地收拾回家度周末了。然而，从下午开始，网络安全公司就不断接到用户求救电话，越来越多的用户遭受计算... 查看详情

一分钟应对勒索病毒wannacry

目录一、WannaCry 勒索病毒二、解决方法三、工具与补丁下载一、WannaCry 勒索病毒勒索病毒WannaCry肆虐全球，利用Windows操作系统漏洞，因链式反应迅猛自动传播，校园电脑、个人电脑、政府机关都是重灾区。中毒电脑所有... 查看详情

应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用

...,这是在骗你安装恶意程序。      近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为”猜你妹”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。     据腾讯移动安全实验室和腾... 查看详情

挨踢观察：勒索病毒又要瞄准移动端了？移动支付安全该怎么办？

5月12日至今，肆虐全球的WannaCry勒索病毒让全球网民度过了灰暗恐慌的一周，也让诸多普通网民真正意识到，网络安全并非只是网络公司或安全公司的事了，自己也是网络安全中的一员。据了解，WannaCry勒索病毒是黑客组织“影... 查看详情

挨踢观察：勒索病毒又要瞄准移动端了？移动支付安全该怎么办？

5月12日至今，肆虐全球的WannaCry勒索病毒让全球网民度过了灰暗恐慌的一周，也让诸多普通网民真正意识到，网络安全并非只是网络公司或安全公司的事了，自己也是网络安全中的一员。据了解，WannaCry勒索病毒是黑客组织“影... 查看详情

wannacry勒索病毒卷土重来:日本本田工厂被迫关闭

   6月22日消息，前阵子WannaCry勒索病毒席卷全球，世界各地网络遭到攻击。日前，偃旗息鼓了一阵的WannaCry勒索病毒又重回人们视线，迫使一家汽车厂在日本关闭。　　路透社报道，本田Sayama工厂不得不在星期一停止... 查看详情

wannacry勒索病毒的防范和处理指引--致终端用户版

关于WannaCry勒索病毒的防范和处理指引 注意！WannaCry勒索病毒仅影响Windows操作系统；如果您使用的是苹果MacOS操作系统，但是有使用WINDOWS虚拟机的话，也要进行下述操作！ 操作步骤：1、切断网络并开机A、开机前拔掉网... 查看详情

wannacry勒索病毒用户处置指南

一、前言北京时间2017年5月12日晚，勒索软件"WannaCry"感染事件爆发，全球范围内99个国家遭到大规模网络攻击，被攻击者电脑中的文件被加密，被要求支付比特币以解密文件；众多行业受到影响，比如英国的NHS服务，导致至少40家... 查看详情

浅析勒索病毒wannacry永恒之蓝

现在是2017年5月14号晚上9点对于勒索病毒WannaCry病毒刚刚结束了他的工作···　　2017年5月12日晚间起，我国各大高校的师生陆续发现自己电脑中的文件和程序被加密而无法打开，弹出对话框要求支付比特币赎金后才能恢复，如若... 查看详情

防范勒索病毒wannacry的措施

1.有道云笔记防范勒索病毒的措施（注意：补丁不要用这篇文章中链接里的，用<2.补丁地址>里的,因为这个是微软官方的，一共是两个补丁，名字和教程中的一样,还有关闭端口后要重启计算机才能生效，可以用cmd命令netstat-an... 查看详情

亲历wannacry变种病毒

无意中发现电脑中了WannaCry的变种病毒，具体现象为cmd命令行netstat-an|find":445"有大量从本机外连其他机器445端口的TCP连接。WannaCry之前的版本会释放勒索程序对主机进行勒索，但变种中该程序在主流Windows平台下运行失败，... 查看详情

应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用

...,这是在骗你安装恶意程序。      近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为”猜你妹”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。     据腾讯移动安全实验室和腾... 查看详情

wannacry病毒应急处置

WannaCry病毒应急处置病毒介绍     近期勒索病毒WannaCry大面积爆发，并迅速蔓延。被感染的机器，病毒会自动加密系统中的图片、文档、音频、视频等几乎所有类型的文件，必须缴纳高额勒索金（人民币3000多）... 查看详情