【转载】如有侵权或者风险,请及时联系我,我会删除。
自5月12日起一款名为WannaCry的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。目前国内多家企事业单位相继被攻陷,其中包括中石油加油站、浙江传媒大学、中国计量学院、贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。
一、什么是勒索软件?
勒索软件是一种特殊的恶意软件(又被人归类为阻断访问式攻击, denial-of-access attack),其与其他病毒最大的不同在于手法, 其主要的攻击手段分为以下两种:
- 单纯地将受害者的电脑锁起来;
- 系统性地加密受害者硬盘上的文件。
所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回被加密的数据与文件。勒索软件通常通过木马病毒的形式传播,其将自身掩盖为看似无害的文件。
二、什么是蠕虫?
这里的蠕虫是指计算机蠕虫,其与计算机病毒相似,是一种能够自我复制的计算机程序,具有极强的传播性。
传播过程:蠕虫程序常驻于一台或多台机器中,通常它会扫描其他机器是否有感染同种计算机蠕虫,如果没有,就会通过其内建的传播手段进行感染,以达到使计算机瘫痪的目的。其通常会以宿主机器作为扫描源。通常采用:垃圾邮件、漏洞传播这2种方法来传播。
三、WannaCry危害与传播方式
1. 危害
计算机感染WannaCry后,该勒索软件首先会尝试连接www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(IP地址:144.217.254.3)域名,如果可正常连接,即软件自动退出,不进行后续的加密操作。如果访问不成功则会搜索系统如下文件并进行加密。
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt攻击者声称用户需要支付300~600美元的比特币才可以解锁,其实当你支付赎金后也未必会找回被加密的文件。
2. 传播方式
目前主要传布方式为邮件附件或者访问恶意链接。
四、如何防范WannaCry攻击
WannaCry主要是利用 Windows 系统 MS17-010 漏洞进行攻击与传播。
- 关闭445端口,防止“永恒之蓝”利用开启端口进行攻击(关闭步骤见下方)
- 更新补丁
Microsoft Windows SMB 服务器安全更新 (4013389),地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx - 使用360安全卫士的“NSA武器库免疫工具”进行补丁升级,下载地址:http://dl.360safe.com/nsa/nsatool.exe
1. Win7、Win8、Win10 关闭445端口的处理流程
(1)关闭网络或拨掉网线
(2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
(3)选择启动防火墙,并点击确定
(4)点击高级设置
(5)点击入站规则,新建规则,以445端口为例
(6)选择端口、下一步
(7)选择特定本地端口,输入445,下一步
(8)选择阻止连接,下一步
(9)配置文件,全选,下一步
(10)名称,可以任意输入,完成即可
(11)请安装MS17-010 补丁,微软已经发布winxp_sp3 至win10、win2003 至win2016 的全系列补丁。下载地址:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0
(12) 开启系统自动更新,并检测更新进行安装
(13) Win7系统需要关闭Server服务才能够禁用445端口的连接
需要操作系统的server服务关闭,依次点击“开始”,“运行”,输入services.msc,进入服务管理控制台。
双击Server,先停用,再选择禁用。最后重启win7。
使用netstat –an查看445端口不存在了。
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。
2. WinXP系统的处理流程
(1)依次打开控制面板,安全中心,Windows防火墙,选择启用
(2)通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
(3)找到HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
(4)将DWORD值命名为“SMBDeviceEnabled”,值修改为0。
(5)重启机器,查看445端口连接已经没有了。
(6)鉴于本次Wannacry蠕虫事件的影响恶劣,微软总部决定对已停服的XP和部分服务器版本发布特别补丁微软公告详情:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
五、文件被加密了怎么办
目前暂无解密方式
六、总结
针对此次安全事件,我们需要做到如下:
- 保证系统补丁及时更新。
- 不随便打开陌生人发来的邮件附件或链接。
- 重要文件请及时备份。