当前位置:首页 > 雷神校园团队 > 正文

近期爆发的WannaCry勒索软件病毒应对方案

昨天晚上看到污欢在咨询这件事,没怎么注意:

qxqinghuan 22:22:34
我们学校闪讯
qxqinghuan 22:22:59
后台好像被挂了比特币病毒
qxqinghuan 22:23:14
大批人中了比特币病毒
王And木 22:23:38
比特币现在还无解?
qxqinghuan 22:23:59
_(:з」∠)_这我也不知道
qxqinghuan 22:24:08
我都不敢开闪讯了
因为不懂才加群22:24:15
[表情]
王And木 22:24:25
闪讯是什么
因为不懂才加群22:24:35
上网客户端
qxqinghuan 22:24:35
就是学校用的教育网
王And木 22:24:49
又没事
王And木 22:25:24
你们学校有官网吗
王And木 22:25:28
我看看
qxqinghuan22:26:59
有的
qxqinghuan 22:27:20
不过应该跟官网关系不大
qxqinghuan 22:27:26
闪讯是一个客户端
王And木22:27:35
我就是看看你们官网什么样
王And木 22:27:39
[图片]
qxqinghuan22:28:02
直接搜浙江工商大学杭州商学院官网就出来了
qxqinghuan22:28:25
我我我……我不敢联网QAQ
因为不懂才加群 22:28:52
怕啥
因为不懂才加群22:29:00
qxqinghuan 22:29:19
╭(╯^╰)╮我就怕
qxqinghuan 22:29:27
电脑里重要的东西多了去了
因为不懂才加群22:29:29
找不到你们的客户端下载地址,这就很尴尬了
qxqinghuan 22:29:51
客户端地址不是这个
因为不懂才加群 22:30:07
[图片]
因为不懂才加群22:30:11
是呀
因为不懂才加群 22:30:18
想看看你们绑马的端
qxqinghuan22:30:24
qxqinghuan 22:30:27
这里下的
因为不懂才加群 22:30:49
下载Ing
qxqinghuan 22:30:49
[图片]
qxqinghuan22:31:00
第一个
因为不懂才加群22:32:05
下了,eset没报毒
qxqinghuan 22:33:09
[图片]
因为不懂才加群 22:35:51
没毒啊
因为不懂才加群 22:35:55
NSIS打包的
因为不懂才加群 22:36:02
刚解包后用ESET扫描了
因为不懂才加群22:36:06
正常的
qxqinghuan 22:36:30
咦那是怎么回事?
qxqinghuan 22:36:34
去病毒吧看看吧
qxqinghuan 22:36:41
很多人发了
qxqinghuan 22:37:06
看情况好几个地区都出现了
qxqinghuan 22:37:16
跟我们学校情况一模一样
暴打悟空 22:39:48
好凶残
暴打悟空 22:40:32
我学校最多也就全实验室电脑中u盘病毒而已
qxqinghuan 22:42:11
超凶残,我们学校都紧急发布不要上网的通知了
因为不懂才加群22:44:30
[图片]
王And木22:44:37
现在安全软件可以拦截了吧
王And木 22:44:51
特别是360,拦截很任性。。。
因为不懂才加群 22:45:22
[图片]
qxqinghuan22:45:24
[图片]我能说我三个室友用的都是辣鸡电脑管家吗
因为不懂才加群 22:45:33
360可以拦
因为不懂才加群22:45:37
核晶还是不错的
qxqinghuan 22:45:42
就我一个用360
因为不懂才加群 22:45:51
360是国内首家开始拦截勒索的
暴打悟空 22:46:20
电脑管家自从不内置红伞了我就不用了。。。
暴打悟空 22:46:31
360国际版还阔以
qxqinghuan 22:46:35
总之学校说在解决了

根据@软妹(贴吧ID:a3835655) 的说法,此次病毒名应该为:WanaCrypt0r.Ransom

以下分析来自他的文章:

这个毒已知使用了4月份泄露的ms17-010漏洞(所以请所有感染病毒后重装的或还未感染的打上这个漏洞的补丁)
其次,请大多数在教育网(校园网)的关闭445端口(该漏洞利用了这个端口,且受感染的是移动网居多)
至于文件恢复。。。。
这个毒跟cerber这些勒索软件一样,目前没有解密文件的方法,解密至少得等半年(最长甚至一年以上)
但不建议支付赎金(第一赎金是真的贵,第二支付了文件不一定能恢复)
而且这个勒索病毒是真的烦,每隔一段时间弹出主程序(看你情况,理论上杀毒可以解决这个问题,但也会造成勒索软件消失只能等破解)
如果都不懂,那很简单,拔网线解决所有问题

同时这个勒索病毒不能穿影子、虚拟机、沙箱(只针对直接打开,如果使用漏洞不一定能直接入沙,不过理论毛豆自动入沙可行)(毕竟只是加密文件,如果全盘影子那么勒索病毒是没办法修改文件的(改完后重启会恢复))

然后分析下此病毒的扩散原因:

首先是病毒,WanaCrypt0r.Ransom是今年二月诞生的一款比特币勒索工具的衍生品,据英国金融时报和纽约时报披露,病毒发行者正是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把WanaCry病毒升级,被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。

关于WannaCry(想哭么)勒索病毒的传播,应该属于机遇SMB服务漏洞进行网络攻击的蠕虫病毒。最早这款勒索病毒会引诱你点击看似正常的邮件、附件或文件,并完成病毒的下载和安装,称为“钓鱼式攻击”(phishing)。安装后的病毒会将用户电脑锁死,把所有文件都改成加密格式,并修改用户桌面背景,弹出提示框告知交纳“赎金”的方式。
文章开始的图即是本次病毒袭击的截屏,内含“我的电脑发生了什么”、“如何修复我的文件”、“如何支付赎金”等信息。用户可以尝试修复极小一部分数据,作为证明病毒及“解药”有效的证据。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除,对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道。提示框左边是计时器,右边则标有付款及检验付款生效的方法。

这款病毒传播到国内,主要是由于Shadow Brokers组织在网上公布了NSA针对Windows文件与打印机共享系统漏洞的黑客编程代码,公布时间为4月中旬,我当时有写漏洞利用工具的文章,参考https://www.muruoxi.com/1540.html

因为NSA通杀全球七成微软用户,所以造成了利用NSA漏洞可以迅速传播WannaCry,造成大量中毒事件,并且在有心人士有针对的传播下,国内各高校大量中毒。

下为该病毒的传播思路:

感谢思科Talos安全团队的文章

原病毒文件mssecsvc.exe会释放并执行tasksche.exe文件,然后检查kill switch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea点康姆,请勿访问避免给您带来危害)。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。

tasksche.exe文件则会检查硬盘,包括映射了盘符的网络共享文件夹和可移动存储设备,如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件,然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中,该恶意软件会生成一个新的文件目录“Tor/”,在其中释放tor.exe和九个供tor.exe使用的dll文件。此外,它还会释放两个额外的文件:taskdl.exe和taskse.exe。前者会删除临时文件,后者会启动@wanadecryptor@.exe,在桌面上向最终用户显示勒索声明。@wanadecryptor@.exe并不包含在勒索软件内,其自身也并非勒索软件,而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。
@wanadecryptor@.exe会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接,让WannaCry能够通过Tor网络代{过}{滤}理发送其流量,从而保持匿名。
与其他勒索软件变种类似,该恶意软件也会删除受害人电脑上的任意卷影副本,以增加恢复难度。它通过使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。

WannaCry使用多种方法辅助其执行,它使用attrib.exe来修改+h标记(hide),同时使用icacls.exe来赋予所有用户完全访问权限(“icacls ./grant Everyone:F /T /C /Q”)。

加密完成后,该恶意软件会显示勒索声明。这一勒索软件非常有趣的一点是,其勒索屏幕是一个可执行文件,而非图像、HTA文件或文本文件。

那么“永恒之蓝”和“勒索病毒”是什么关系?

“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。

下面给出微软提供的解决方案:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

针对系统不同下载对应补丁修复即可,或者用电脑管家等产品进行漏洞修补亦可以。

因为微软经常打不开,故补上百度云链接:

https://pan.baidu.com/s/1nu6K02X

暂时只提供以下版本补丁,微软炸了,部分补丁获取不到

win10 1607 x64

win10 1511 x64

win7 sp1 x64

win10 10240 x64

win8.1 x64

好了不说了,窝得修服务器去了,独立服务器多了也是个问题……

附xp解决方案:

http://www.ithome.com/html/win10/308623.htm

病毒样本下载:

声明:下载此样本代表你明确其所产生的后果并且愿意承担其造成的影响,在非研究性的目地下禁止恶意传播

链接: https://pan.baidu.com/s/1cvROgI 密码: uxtj

解压密码:样本交流圈子的国际通用解压密码

此样本已被各大杀软入库,EAV检查如下:

用户答疑:

1、不下载更新有事么:

答:后果自理,中毒后别说你电脑有重要文件就行了

2、重装可以解决么:

答:重装无用,文件已经被加密了

3、已经中毒怎么办:

答:备份所有被加密的文件,期待有一天能被解密,然后格式化所有硬盘,重装系统。相比以往的勒索病毒,这次的WannaCry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金,因此很难给出相应的解密密钥(密钥是对应每一台电脑的,没有通用密钥)。

请不要轻易支付赎金(比特币),如上所述,即使支付了赎金,病毒作者也无法区分到底谁支付赎金并给出相应密钥。

4、什么时候能解密这些文件:

答:随机加密,出解密的可能性不高。网上流传一些“解密方法”,甚至有人说病毒作者良心发现,已经公布了解密密钥,这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样,是无法解密的,请不要相信任何可以解密的谎言,防止上当受骗。

5、如何查看windows版本

答:使用快捷键win+r,输入winver,检查windows版本

确保你下载的补丁版本和你系统版本一致,其余版本的补丁等微软能访问的时候我会发的

6、提示

答:打开系统更新并重启后安装

7、怎么打开系统更新

答:下载https://pan.baidu.com/s/1nvSFyid

8、安装完补丁后需要关闭更新么

答:建议关闭

9、版本是1607,系统更新也打开了,但是提示

答:下载此检测漏洞是否存在.exe

https://pan.baidu.com/s/1nvSFyid

检测是否存在漏洞,如果不存在,则已经修复

注,原作360,修复方式是安装360打补丁,所以我把在线下载360的模块删掉了,要修复可参考10

10、因为电脑管家等之前的漏洞修补功能导致无法安装更新,怎么处理?

答:使用快捷键win+x,选择命令提示符(管理员),复制下方代码粘贴进去点回车即可。

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

注意,10中的方法为使用防火墙阻断445端口(受影响范围为局域网中的打印机),这代表如果你关闭防火墙后则会有中毒危险。

11、哪些文件受到影响?

答:已知如下会受到影响:

.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;

12、某些公司发布了解密工具,是攻破了病毒么?

答:参考3和4,目前的解密工具,其原理是恢复被删除的文件,这个病毒存在一个致命漏洞,即生成加密文件后会删除正常的文件,所以可以通过误删文件找回工具来获取到一定的数据,但由于相关原因,这种恢复无法保证质量,所以及时打补丁还是很有必要的。


 

欢迎加入电脑问题互助交流,群聊号码:865856349

文章标题:近期爆发的WannaCry勒索软件病毒应对方案
本文作者:慕若曦
发表日期:2017-05-13 11:17 星期六    首发于    暮若夕
本文固定链接: https://www.muruoxi.com/1572.html
 
文章标签:
上一篇: 下一篇:

1 条评论

评论加载中...
  1. 沙发
    王木木   

    呃……我win8.1提都提不到了吗……………………笑哭。
    嗯……还是建议开自动更新补丁吧。

    2017年5月13日 下午11:14 评论

发表评论

╮( ̄▽ ̄)╭ |  (= ̄ω ̄=) |  (>﹏<) |  Σ( ° △ °|||)︴ |  Σ(っ °Д °;)っ |  X﹏X |  (╯-_-)╯╧╧

小提示:提交评论后刷新本页面即可看到隐藏的文件哦~
十年之约
加载中……