--公众IT

当前位置：公众IT > 技术文章 >

新闻来源：互联网资料整理发布时间：2023/4/5 17:58:54 共计：4633 浏览

　北京时间2017年5月12日晚，勒索软件"WannaCry"感染事件爆发，全球范围内99个国家遭到大规模网络攻击，被攻击者电脑中的文件被加密，被要求支付比特币以解密文件；众多行业受到影响，比如英国的NHS服务，导致至少40家医疗机构内网被攻陷，电脑被加密勒索；而我国众多行业的也是如此，其中又以教育网最为显著，导致部分教学系统无法正常运行，相关学子毕业论文被加密等。截止到北京时间5月15日09点，目前事件趋势已经蔓延到更多行业，包含金融、能源、医疗、交通等行业均受到影响。
　　今年4月14日黑客组织Shadow Brokers（影子经纪人）公布了Equation Group（方程式组织）使用的"网络军火"，其中包含了一些Windows漏洞（微软编号为MS17-010）和利用工具，这些漏洞利用中以Eternalblue（永恒之蓝）最为方便利用，并且网上出现的相关攻击脚本和利用教程也以该漏洞为主，而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵；Eternalblue可以远程攻击Windows的445端口，该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件，黑客主要进行挖矿、DDoS等行为，而本次事件则是利用该漏洞进行勒索病毒的植入和传播。
　　本次事件影响范围广泛，腾讯安全云鼎实验室发布本处理指南意在指导云上用户在遭受攻击前后进行相关处理，个人用户也可参考部分章节。
　　二、事前预防
　　1. 关闭漏洞端口，安装系统补丁
　　可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽，比如电脑管家勒索病毒免疫工具（下载地址：
　　手动关闭端口，下载安装补丁，为确保补丁安装，请一定要手工安装补丁。
补丁下载地址： http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598、 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 利用防火墙添加规则屏蔽端口开始菜单-打开控制面板-选择Windows防火墙如果防火墙没有开启，点击"启动或关闭 Windows防火墙"启用防火墙后点击" 确定"点击" 高级设置"，然后左侧点击"入站规则"，再点击右侧" 新建规则"在打开窗口选择选择要创建的规则类型为"端口"，并点击下一步在"特定本地端口"处填入445并点击"下一步"，选择"阻止连接"，然后一直下一步，并给规则随意命名后点击完成即可。注：不同系统可能有些差异，不过操作类似腾讯云机器也可以通过配置安全组规则屏蔽445端口选择需要操作机器所属的安全组，点击"编辑规则"直接点击快捷配置按钮"封堵安全漏洞"就可以自动添加规则该快捷按钮将会添加"137、139、445"三个端口的屏蔽规则，如果只想添加本次所影响的445端口，可以在保存前进行调整（如非业务需要，不建议调整）
　　2. 备份数据，安装安全软件，开启防护
对相关重要文件采用离线备份（即使用U盘等方式）等方式进行备份部分电脑带有系统还原功能，可以在未遭受攻击之前设置系统还原点，这样即使遭受攻击之后可以还原系统，找回被加密的原文件，不过还原点时间到遭受攻击期间的文件和设置将会丢失目前，大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等，可以安装这些安全软件，如腾讯电脑管家，开启实时防护，避免遭受攻击对于个人用户，可以采用一些文件防护工具，进行文件的备份、防护，如电脑管家的文档守护者（电脑管家工具箱内可下载使用）
　　3. 建立灭活域名实现免疫
　　根据对已有样本分析，勒索软件存在触发机制，如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册，可以正常访问。
　　普通用户在可以联网状态下，保证对该网址的可访问，则可以避免在遭受攻击后避免被加密（仅限于已知勒索病毒）企业用户可以通过在内网搭建Web Server，然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫；通过该域名的访问情况也可以监控内网病毒感染的情况
　　三、事后病毒清理
首先可以拔掉网线等方式隔离已遭受攻击电脑，避免感染其他机器病毒清理相关安全软件（如电脑管家）的杀毒功能能直接查杀勒索软件，可以直接进行扫描清理（已隔离的机器可以通过U盘等方式下载离线包安装）；也可以在备份了相关数据后直接进行系统重装，并在重装后参考"事前预防"进行预防操作
　　四、事后文件恢复
　　基于目前已知的情况，当前没有完美的文件恢复方案，可以通过以下的方式恢复部分文件：
勒索软件带有恢复部分加密文件的功能，可以直接通过勒索软件恢复部分文件，不过该恢复有限；直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口，显示可免费恢复的文件列表，然后点击"Start"即可恢复列表中文件根据对勒索病毒分析，勒索软件在加密文件后会删除源文件，所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件，可以使用第三方数据恢复工具尝试数据恢复，云上用户请直接联系我们协助处理。　正文已结束，您可以按alt+4进行评论

好记性不如烂笔头，做好数据备份，重要的多用几个U盘，至于有些公司机器usb口被封住那也不用担心，那些电脑只连局域网

在分析该事件之前让我们一起来回顾下该事件吧：
2017年5月12日晚，一款名为Wannacry 的蠕虫勒索软件袭击全球网络，该软件被认为是一种蠕虫变种（也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”）。像其他勒索软件的变种一样，WannaCry也阻止用户访问计算机或文件，要求用户需付费解锁。
一旦电脑感染了Wannacry病毒，受害者要支付高达300美元比特币的勒索金才可解锁。否则，电脑就无法使用，且文件会被一直封锁。
研究人员还发现了大规模恶意电子邮件传播，以每小时500封邮件的速度传播杰夫勒索软件，攻击世界各地的计算机。
下面我们来好好分析下该事件：
1、为什么Wannacry 病毒扩散得如此广如此快呢？
原来该勒索软件是通过利用美国国家安全局（NSA）爆出的漏洞来迅速传播的，我们都知道NSA拥有世界各地的许多重要信息，一旦NSA被不法之徒利用其结果可想而知。
2、它是如何利用NSA进行传播的？
Wannacry 病毒利用美国国家安全局黑客武器库泄露的ETERNALBLUE（永恒之蓝）发起病毒攻击。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）黑客工具包。其中ETERNALBLUE模块是SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器，实现远程命令执行。而蠕虫软件正是利用 SMB服务器漏洞，通过2008 R2渗透到未打补丁的Windows 计算机中，实现大规模迅速传播。一旦你所在组织中一台计算机受到攻击，蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。
3、原因分析：
①NSA黑客武器库的泄露；
②用户信息安全意识的疏忽，因为微软已经在三月份发布相关漏洞（MS17-010）修复补丁；
③黑客想对全球网络攻击达到勒索的目的。
4、平时的防护措施：
信息管理部门或公司应及时修复漏洞加强维护，除此之外还应对关键命令进行监控和限制；
用户要加强自我的信息安全意识，在被病毒攻击前就应做好相应的预防措施比如下载最新的病毒库及更新系统杀毒软件之类的。
5、该事件造成的结果：
截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。勒索攻击导致16家英国医院业务瘫痪，西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织， 11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。
信息安全与我们每个人息息相关，我们如果不及早意识到它的重要性，那么在下一次信息安全危机时，受害的只能是我们自己，还望我们能增强自我的信息安全意识，给自己及他人营造一个安全的信息环境。