imtoken钱包下载 本地|wannacry勒索病毒事件
imtoken钱包下载 本地|wannacry勒索病毒事件
勒索软件WannaCry:所有你需要知道的
WannaCry:所有你需要知道的跳到主体内容解决方案适用于:家用产品1-50 名员工的小型企业51-999 名员工的中型企业1000 名员工以上的大型企业解决方案适用于:家用产品1-50 名员工的小型企业51-999 名员工的中型企业1000 名员工以上的大型企业卡巴斯基徽标我的卡巴斯基产品产品卡巴斯基全方位安全软件为您和您的孩子提供终极安全和反病毒套件 - 在 PC、Mac 和移动设备上了解详情30 天免费试用卡巴斯基安全软件为您的隐私和资金提供高级安全和反病毒套件 - 在 PC、Mac 和移动设备上了解详情30 天免费试用卡巴斯基反病毒软件适用于 Windows 的核心反病毒软件 - 拦截病毒和加密货币挖掘恶意软件了解详情30 天免费试用卡巴斯基安全软件- Mac 版针对身份窃贼和欺诈者的高级安全保护了解详情30 天免费试用卡巴斯基免费版为您的 PC 提供免费、基本的反病毒保护了解详情免费试用免费工具卡巴斯基二维码扫描器查看更多续订下载支持资源中心BlogHomeHome SecurityResource CenterThreats什么是WannaCry勒索软件?你的电脑容易受到WannaCry勒索软件的攻击吗?继续读下去,了解我们如何探索WannaCry勒索软件攻击的所有信息。在本文中,您将了解到:
什么是WannaCry
WannaCry勒索软件攻击如何工作
WannaCry勒索软件攻击的影响
如何保护您的计算机免受勒索软件的侵害
WannaCry勒索软件解释
WannaCry是加密勒索软件的一个例子,这是一种恶意软件,被网络罪犯用来勒索金钱。
勒索软件通过加密有价值的文件来做到这一点,这样你就无法读取它们,或者通过把你锁在电脑外面,这样你就无法使用它。
使用加密的勒索软件称为加密勒索软件。把你锁在电脑外面的类型叫做上锁勒索软件。
和其他类型的加密勒索软件一样,WannaCry将你的数据作为人质,承诺如果你支付了赎金,就归还它。
WannaCry以使用Microsoft Windows作为操作系统的计算机作为目标。它对数据进行加密,并要求以加密货币比特币支付赎金,以便返还。
什么是WannaCry勒索软件攻击?
WannaCry勒索软件攻击是发生在2017年5月的全球流行恶意攻击。
这种勒索软件攻击通过运行Microsoft Windows的计算机传播。用户的文件被扣为人质,要求比特币赎金才予以归还。
如果不是因为继续使用过期的计算机系统和缺乏更新软件的教育,这次攻击所造成的损害是可以避免的。
WannaCry攻击如何工作?
负责这次攻击的网络犯罪分子利用了微软Windows操作系统的一个弱点,使用了据称由美国国家安全局开发的黑客。
这一黑客被称为EternalBlue,是在WannaCry攻击之前,一群被称为Shadow Brokers的黑客公开的。
微软发布了一个安全补丁,在WannaCry勒索软件攻击开始前两个月,它保护用户的系统免受这种攻击。不幸的是,许多个人和组织没有定期更新他们的操作系统,因此受到攻击。
那些在攻击之前没有运行过Microsoft Windows更新的用户并没有从补丁中获益,而EternalBlue所利用的漏洞使他们容易受到攻击。
当它第一次发生时,人们认为WannaCry勒索软件攻击最初是通过网络钓鱼活动传播的(网络钓鱼活动是指带有受感染链接或附件的垃圾邮件引诱用户下载恶意软件)。然而,EternalBlue是允许wannaCry传播的漏洞,DoublePulsar是安装在受损计算机(用于执行wannaCry)上的“后门”。
如果没有付WannaCry赎金怎么办?
袭击者要求价值300美元的比特币,然后将赎金要求增加到600美元。如果受害者在三天内没有支付赎金,受WannaCry勒索软件攻击的受害者被告知他们的文件将被永久删除。
关于赎金支付的建议是不要屈服于压力。始终避免支付赎金,因为无法保证您的数据将被返回,并且每次支付都会验证罪犯的业务模式,从而使未来的攻击更为可能。
这一建议在WannaCry攻击期间被证明是明智的,因为据报道,攻击中使用的编码是错误的。当受害者支付赎金时,攻击者无法将该支付与特定受害者的计算机联系起来。
有人怀疑是否有人把他们的文件拿回来。一些研究人员声称没有人能取回他们的数据。然而,一家名为F-Secure的公司声称有一些公司做到了。这是一个明显的提醒,即是如果你遭遇勒索软件攻击,支付赎金从来不是一个好主意。
WannaCry攻击有什么影响?
WannaCry勒索软件攻击全球约23万台电脑。
最先受到影响的公司之一是西班牙移动公司Telefónica。到5月12日,英国数千家NHS医院和诊所受到影响。
三分之一的NHS医院信托基金受到袭击的影响。据报道,救护车被可怕地改变了路线,使人们无法得到紧急护理。据估计,由于这次袭击,19000个预约被取消,使NHS损失了9200万英镑。
随着勒索软件在欧洲蔓延,150个国家的计算机系统瘫痪。WannaCry勒索软件的攻击在全球范围内产生了巨大的经济影响。据估计,这起网络犯罪在全球造成了40亿美元的损失。
勒索软件保护
现在您了解了WannaCry勒索软件攻击是如何发生的以及它所带来的影响,让我们考虑一下如何保护自己免受勒索软件的攻击。
以下是我们的主要提示:
定期更新您的软件和操作系统
计算机用户成为WannaCry攻击的受害者,因为他们没有更新他们的Microsoft Windows操作系统。
如果他们定期更新操作系统,他们将从微软于攻击前发布的安全补丁中获益。
这个补丁消除了EternalBlue利用的漏洞,使计算机无法感染Wannacry勒索软件。
一定要保持软件和操作系统的更新。这是一个重要的勒索软件保护步骤。
不要点击可疑链接
如果你打开一封不熟悉的电子邮件或访问一个网站,不要信任,不要点击任何链接。点击未经验证的链接可能触发勒索软件下载。
从不打开不受信任的电子邮件附件
避免打开任何电子邮件附件,除非您确定它们是安全的。你知道并信任寄件人吗?是否清楚附件是什么?您是否希望收到附件?
如果附件要求您启用宏来查看它,请保持清醒。不要启用宏或打开附件,因为这是勒索软件和其他类型恶意软件传播的常见方式。
不要从不受信任的网站下载
从未知站点下载文件会增加下载勒索软件的风险。仅从您信任的网站下载文件。
避免未知的USB
如果您不知道USB或其他移动存储设备的来源,请不要将它们插入您的计算机。它们可能被勒索软件感染。
使用公共Wi-Fi时使用VPN
使用公共Wi-Fi时要小心,因为这会使您的计算机系统更容易受到攻击。
在使用公共Wi-Fi时,请使用安全的VPN保护自己免受恶意软件的侵害。
安装互联网安全软件
更新您的互联网安全软件
为了确保您获得最大程度的保护,您的互联网安全必须提供更新维护(包括所有最新补丁)。
备份您的数据
确保使用外部硬盘或云存储定期备份数据。如果你成为勒索软件黑客的受害者,如果你的数据被备份过,那将是安全的。备份数据后,请记住断开外部存储设备与计算机的连接。保持您的外部存储经常连接到您的PC可能会暴露给勒索软件家族,他们也可以加密这些设备上的数据。
想在最大程度的勒索软件保护下轻松入睡吗?下载卡巴斯基全方位安全软件。
相关文章:
Data Theft and Data Loss
The Biggest Ransomware Threats
WannaCry: Not Dead Yet
什么是WannaCry勒索软件?Kaspersky那个WannaCry黑客怎么了?我们将讨论WannaCry勒索软件的攻击以及如何保护您的计算机。精选文章我是网络钓鱼受害者!现在该怎么办?数字钱包有多安全?如何保护电子钱包黑色星期五在线威胁: 如何安全在线购物 什么是暗网扫描?规模最大的加密货币交易所黑客行动:如何确保您的加密货币免受黑客入侵为您提供保护的产品我们的创新型产品将帮助您保护最重要的事项。了解有关我们屡获殊荣的安全解决方案的更多信息。免费工具我们的免费安全工具以及其他工具可以帮助您检查以确保 PC、Mac 或移动设备上所有数据的安全。联系我们的团队保证您的设备安全是我们的使命 - 如果您需要联系我们、获取常见问题的答案或者访问我们的技术支持团队。
关于我们了解我们的品牌、我们的工作方式以及我们为何致力于为每个人营造更加安全的在线和移动世界。获取免费试用版购买前试用。只需单击几次鼠标,即可获取我们任一款产品的免费试用版 - 以便您可试用我们的技术。
联系我们
家用产品
卡巴斯基 反病毒软件
卡巴斯基 安全软件
卡巴斯基 全方位安全软件
所有产品
免费反病毒软件
1-50 名员工的小型企业
卡巴斯基 中小企业安全解决方案
所有产品
51-999 名员工的中型企业
标准版 网络安全解决方案
高级版 网络安全解决方案
所有产品
1000 名员工以上的大型企业
网络安全服务
卡巴斯基威胁管理和防御
卡巴斯基网络安全
Hybrid Cloud Security
Cybersecurity Training
Threat Intelligence
所有解决方案
© 2024 AO Kaspersky Lab 自适应安全技术基于专利 CN201821502 “信息设备的自适应安全性”及其在美国、俄罗斯和欧盟地区的同类专利。 隐私策略 • Cookies • 反腐败政策 • 许可协议 B2C • 许可协议 B2B • 京ICP备12053225号 京公网安备 11010102001169 号联系我们关于我们合作伙伴资源中心新闻稿网站导航选择您的国家中国 (China)
美洲
América Latina
Brasil
United States
Canada
非洲
Afrique Francophone
Algérie
Maroc
South Africa
Tunisie
中东
Middle East
الشرق الأوسط
西欧
Belgique & Luxembourg
Danmark
Deutschland & Schweiz
España
France
Italia & Svizzera
Nederland & België
Norge
Österreich
Portugal
Sverige
Suomi
United Kingdom
东欧
Česká republika
Magyarország
Polska
România
Srbija
Türkiye
Ελλάδα (Greece)
България (Bulgaria)
Россия и Белару́сь (Russia & Belarus)
Україна (Ukraine)
亚太地区
Australia
India
New Zealand
Việt Nam
ไทย (Thailand)
한국 (Korea)
中国 (China)
中国香港 (Hong Kong)
中国台灣 (Taiwan)
日本語 (Japan)
其他地区
全球网站
百度百科-验证
百度百科-验证
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎切换模式写文章登录/注册勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节火绒安全已认证账号一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。病毒攻击行为和结果遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。传播途径和攻击方式据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。据悉,蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。易受攻击用户群目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。火绒将持续追杀WannaCry目前,对抗“蠕虫”勒索软件攻击的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。二、样本分析该病毒分为两个部分:(1) 蠕虫部分,用于病毒传播,并释放出勒索病毒。(2) 勒索病毒部分,加密用户文件索要赎金。2.1 蠕虫部分详细分析:2.1.1 蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接退出。关于这个“Kill Switch”的存在网络上众说纷纭,我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器,但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象。另外,如果真是为了对抗安全软件沙箱,和以往对抗沙箱的样本比起来,这段代码过于简单,而且出现的位置也过于明显。所以,放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有恶意代码作者能够解释了。2.1.2 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。2.1.4 蠕虫病毒服务启动后,会利用MS17-010漏洞传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播。如下图所示:局域网传播主要代码如下图:病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。相关代码如下: 公网传播主要代码如下图,病毒会随机生成IP地址,尝试发送攻击代码。 SMB漏洞攻击数据包数据,如下图所示:Worm病毒的PE文件中包含有两个动态库文件,是攻击模块的Payload,分别是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前,会构造两块内存,在内存中分别组合Payload和打开Worm病毒自身,凑成有效攻击Payload,代码如下图所示:有效攻击Payload模型如下:完整的攻击Payload的资源如下图,资源中的第一个DWORD是病毒大小,之后就是病毒本身。然后使用MS17-010漏洞,通过APC方式注入动态库到被攻击计算机的Lsass.exe,并执行Payload动态库的导出函数PlayGame,该函数非常简单,功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”,并执行,如下图所示:火绒剑监控被攻击计算机的如下:被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播,这种传播呈几何级向外扩张,这也是该病毒短时间内大规模爆发的主要原因。如下图:目前,攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击。但是,现实中一些机构的网络存在直接连接公网的电脑,且内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。2.2 勒索病毒部分详细分析:2.2.1 该程序资源中包含带有密码的压缩文件,使用密码“WNcry@2ol7”解压之后释放出一组文件:a)taskdl.exe,删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。b)taskse.exe,以任意session运行指定程序。c)u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。d)b.wnry勒索图片资源。e)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。f)c.wnry,洋葱路由器地址信息。g)t.wnry,解密后得到加密文件主要逻辑代码。h)r.wnry,勒索Q&A。2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下:icacls . /grant Everyone:F /T /C /Q2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库,通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。调用勒索动态库代码,如下图所示:勒索主逻辑执行,先会导入一个存放在镜像中的RSA公钥,之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出,再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密,存放在00000000.eky如下图所示:如果遍历到的文件扩展名在欲加密的文件扩展名列表中,如下图所示:则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进行加密。如下图所示:整体加密流程,如下图所示:因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。三、关于“WannaCry”新变种的说明早期版本的“WannaCry”病毒存在“Kill Switch”开关,也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播。现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭,因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改,放开开关,使病毒继续传播。截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”,正如我们推测的一样,网上两个“热炒"变种, SHA256分别为:32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfc8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6和早期的“WannaCry”相比SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c有明显人为修改痕迹,如下图所示:这个样本仅仅是16进制修改了两个字节,让"Kill Switch"失效,这个修改不会影响火绒的检测。另外一个样本除了修改了"Kill Switch"域名,还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了,无法运行。如下图:除了以上两个样本,火绒还截获另一个人为修改的” WannaCry “样本,同样被修改的不能运行,火绒依然可以检测。SHA256如下:99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4 截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。四、附录样本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发布于 2017-05-16 16:33Wana Decrypt0r 2.0(计算机病毒)勒索病毒计算机病毒赞同 35441 条评论分享喜欢收藏申请
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎切换模式写文章登录/注册勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节火绒安全已认证账号一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。病毒攻击行为和结果遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。传播途径和攻击方式据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。据悉,蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。易受攻击用户群目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。火绒将持续追杀WannaCry目前,对抗“蠕虫”勒索软件攻击的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。二、样本分析该病毒分为两个部分:(1) 蠕虫部分,用于病毒传播,并释放出勒索病毒。(2) 勒索病毒部分,加密用户文件索要赎金。2.1 蠕虫部分详细分析:2.1.1 蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接退出。关于这个“Kill Switch”的存在网络上众说纷纭,我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器,但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象。另外,如果真是为了对抗安全软件沙箱,和以往对抗沙箱的样本比起来,这段代码过于简单,而且出现的位置也过于明显。所以,放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有恶意代码作者能够解释了。2.1.2 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。2.1.4 蠕虫病毒服务启动后,会利用MS17-010漏洞传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播。如下图所示:局域网传播主要代码如下图:病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。相关代码如下: 公网传播主要代码如下图,病毒会随机生成IP地址,尝试发送攻击代码。 SMB漏洞攻击数据包数据,如下图所示:Worm病毒的PE文件中包含有两个动态库文件,是攻击模块的Payload,分别是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前,会构造两块内存,在内存中分别组合Payload和打开Worm病毒自身,凑成有效攻击Payload,代码如下图所示:有效攻击Payload模型如下:完整的攻击Payload的资源如下图,资源中的第一个DWORD是病毒大小,之后就是病毒本身。然后使用MS17-010漏洞,通过APC方式注入动态库到被攻击计算机的Lsass.exe,并执行Payload动态库的导出函数PlayGame,该函数非常简单,功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”,并执行,如下图所示:火绒剑监控被攻击计算机的如下:被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播,这种传播呈几何级向外扩张,这也是该病毒短时间内大规模爆发的主要原因。如下图:目前,攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击。但是,现实中一些机构的网络存在直接连接公网的电脑,且内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。2.2 勒索病毒部分详细分析:2.2.1 该程序资源中包含带有密码的压缩文件,使用密码“WNcry@2ol7”解压之后释放出一组文件:a)taskdl.exe,删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。b)taskse.exe,以任意session运行指定程序。c)u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。d)b.wnry勒索图片资源。e)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。f)c.wnry,洋葱路由器地址信息。g)t.wnry,解密后得到加密文件主要逻辑代码。h)r.wnry,勒索Q&A。2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下:icacls . /grant Everyone:F /T /C /Q2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库,通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。调用勒索动态库代码,如下图所示:勒索主逻辑执行,先会导入一个存放在镜像中的RSA公钥,之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出,再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密,存放在00000000.eky如下图所示:如果遍历到的文件扩展名在欲加密的文件扩展名列表中,如下图所示:则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进行加密。如下图所示:整体加密流程,如下图所示:因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。三、关于“WannaCry”新变种的说明早期版本的“WannaCry”病毒存在“Kill Switch”开关,也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播。现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭,因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改,放开开关,使病毒继续传播。截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”,正如我们推测的一样,网上两个“热炒"变种, SHA256分别为:32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfc8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6和早期的“WannaCry”相比SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c有明显人为修改痕迹,如下图所示:这个样本仅仅是16进制修改了两个字节,让"Kill Switch"失效,这个修改不会影响火绒的检测。另外一个样本除了修改了"Kill Switch"域名,还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了,无法运行。如下图:除了以上两个样本,火绒还截获另一个人为修改的” WannaCry “样本,同样被修改的不能运行,火绒依然可以检测。SHA256如下:99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4 截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。四、附录样本SHA256Worm24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfC8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6Ransomed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b792ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00de2d1e34c79295e1163481b3683633d031cab9e086b9ae2ac5e30b08def1b0b47ec9d3423338d3a0bfccacaf685366cfb8a9ece8dedbd08e8a3d6446a85019d3af5cbff5c100866dd744dcbb68ee65e711f86c257dfcc41790a8f63759220881ef7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd6349488be9ee3ce0f85086aec1f2f8409247e8ab4a2a7c8a07af851f8df9814adeee55d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9e989935bb173c239a2b3c855161f56de7c24c4e7a79351d3a457dbf082b84d7b4d67e6c708062e970d020413e460143ed92bebd622e4b8efd6d6a9fdcd07bda8eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022cc365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf932f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfC8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710abe22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e68441be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830c354a9a0bbb975c15e884916dce251807aae788e68725b512a95f7b580828c646bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7e0ec1ad116d44030ad9ef5b51f18ff6160a227a46ffcf64693335c7fb946fad663c8a30963265353532d80a41cae5d54b31e5c2d6b2a92551d6f6dcadd0dedebb4d607fae7d9745f9ced081a92a2dcf96f2d0c72389a66e20059e021f0b5861867eedfe3f13e2638de7d028aaf1e116410562cc5d15a9e62a904f758770dc6bf5f2b33deee53390913fd5fb3979685a3db2a7a1ee872d47efc4f8f7d9438341f01b628fa60560c0cb4a332818cb380a65d0616d19976c084e0c3eaa433288b8816493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0abd8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f71277e369022da51937781b3efe6c57f824f05cf43cbd66b4a24367a19488d2939e49b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640a1d23db1f1e3cc2c4aa02f33fec96346d9d5d5039ffc2ed4a3c65c34b79c5d93ceb51f66c371b5233e474a605a945c05765906494cd272b0b20b5eca11626c613dcbb0c3ede91f8f2e9efb0680fe0d479ff9b9cd94906a86dec415f760c163e1043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4db3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002ca141e45c3b121aa084f23ebbff980c4b96ae8db2a8d6fde459781aa6d8a5e99a09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa7966d843e5760ece99bd32a15d5cd58dc71b1324fdc87e33be46f377486a1b4b11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d495d8123db7094540954061ab1fbc56eedcd9e01110b62d0f54206e3e75a39776a11011a590796f6c52b046262f2f60694310fa71441363d9116ada7248e58509a9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a134186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d9825ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaecb9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c2563bd325cc229226377342237f59a0af21ae18889ae7c7a130fbe9fd5652707afa50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c7262584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41ddb47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0c1f929afa37253d28074e8fdaf62f0e3447ca3ed9b51203f676c1244b5b869554c69f22dfd92b54fbc27f27948af15958adfbc607d68d6ed0faca394c424ccee201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c922ccdf145e5792a22ad6349aba37d960db77af7e0b6cae826d228b82467050925dee2ac983640d656f9c0ef2878ee34cda5e82a52d3703f84278ac372877346d1e6753f948fa648ef9e0d85795b7f090968ee1f240efc0628283776ea55ccb0f7bb9ea2c0f53fa96883c54fa4b107764a6319f6026e4574c9feec2cb7d9e7d219174c0772a5f871e58c385c01eea1ed4b706675bf9bd6aa1667b9d3c40acb6fc3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c857c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e31c2024d0df684a968115e4c3fc5703ef0ea2de1b69ece581589e86ba084568a0bb221bf62d875cca625778324fe5bd6907640f6998d21f3106a0447aabc1e3ce14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96aea79945c0f2f60de43193e1973fd30485b81d06f3397d397cb02986b31e30d99fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b5097778e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df7c465ea7bcccf4f94147add808f24629644be11c0ba4823f16e8c19e0090f0ff24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c2ddc29a646c1579e79c0b4cc86a5d0c9ed57af6ff240e959b17cdcf77d8630264b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32498b8b889bb1f02a377a6a8f0e39f9db4e70cccad820c6e5bc5652e989ae6204f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af149601e15002f78866ab73033eb8577f11bd489a4cea87b10c52a70fdf78d9ffac7f0fb9a7bb68640612567153a157e91d457095eadfd2a76d27a7f65c53ba82发布于 2017-05-16 16:33Wana Decrypt0r 2.0(计算机病毒)勒索病毒计算机病毒赞同 35441 条评论分享喜欢收藏申请
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎
勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎切换模式写文章登录/注册勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节火绒安全已认证账号一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。病毒攻击行为和结果遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。传播途径和攻击方式据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。据悉,蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。易受攻击用户群目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。火绒将持续追杀WannaCry目前,对抗“蠕虫”勒索软件攻击的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。二、样本分析该病毒分为两个部分:(1) 蠕虫部分,用于病毒传播,并释放出勒索病毒。(2) 勒索病毒部分,加密用户文件索要赎金。2.1 蠕虫部分详细分析:2.1.1 蠕虫代码运行后先会连接域名:hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接退出。关于这个“Kill Switch”的存在网络上众说纷纭,我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器,但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象。另外,如果真是为了对抗安全软件沙箱,和以往对抗沙箱的样本比起来,这段代码过于简单,而且出现的位置也过于明显。所以,放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有恶意代码作者能够解释了。2.1.2 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。2.1.4 蠕虫病毒服务启动后,会利用MS17-010漏洞传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播。如下图所示:局域网传播主要代码如下图:病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。相关代码如下: 公网传播主要代码如下图,病毒会随机生成IP地址,尝试发送攻击代码。 SMB漏洞攻击数据包数据,如下图所示:Worm病毒的PE文件中包含有两个动态库文件,是攻击模块的Payload,分别是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前,会构造两块内存,在内存中分别组合Payload和打开Worm病毒自身,凑成有效攻击Payload,代码如下图所示:有效攻击Payload模型如下:完整的攻击Payload的资源如下图,资源中的第一个DWORD是病毒大小,之后就是病毒本身。然后使用MS17-010漏洞,通过APC方式注入动态库到被攻击计算机的Lsass.exe,并执行Payload动态库的导出函数PlayGame,该函数非常简单,功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”,并执行,如下图所示:火绒剑监控被攻击计算机的如下:被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播,这种传播呈几何级向外扩张,这也是该病毒短时间内大规模爆发的主要原因。如下图:目前,攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响,因此那些通过路由拨号的个人用户,并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的,那么企业网络中的电脑也不会受到来自公网的直接攻击。但是,现实中一些机构的网络存在直接连接公网的电脑,且内部网络又类似一个大局域网,因此一旦暴露在公网上的电脑被攻破,就会导致整个局域网存在被感染的风险。2.2 勒索病毒部分详细分析:2.2.1 该程序资源中包含带有密码的压缩文件,使用密码“WNcry@2ol7”解压之后释放出一组文件:a)taskdl.exe,删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。b)taskse.exe,以任意session运行指定程序。c)u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。d)b.wnry勒索图片资源。e)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。f)c.wnry,洋葱路由器地址信息。g)t.wnry,解密后得到加密文件主要逻辑代码。h)r.wnry,勒索Q&A。2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下:icacls . /grant Everyone:F /T /C /Q2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库,通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。调用勒索动态库代码,如下图所示:勒索主逻辑执行,先会导入一个存放在镜像中的RSA公钥,之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出,再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密,存放在00000000.eky如下图所示:如果遍历到的文件扩展名在欲加密的文件扩展名列表中,如下图所示:则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进行加密。如下图所示:整体加密流程,如下图所示:因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。三、关于“WannaCry”新变种的说明早期版本的“WannaCry”病毒存在“Kill Switch”开关,也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播。现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭,因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改,放开开关,使病毒继续传播。截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”,正如我们推测的一样,网上两个“热炒"变种, SHA256分别为:32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfc8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6和早期的“WannaCry”相比SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c有明显人为修改痕迹,如下图所示:这个样本仅仅是16进制修改了两个字节,让"Kill Switch"失效,这个修改不会影响火绒的检测。另外一个样本除了修改了"Kill Switch"域名,还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了,无法运行。如下图:除了以上两个样本,火绒还截获另一个人为修改的” WannaCry “样本,同样被修改的不能运行,火绒依然可以检测。SHA256如下:99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4 截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。四、附录样本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发布于 2017-05-16 16:33Wana Decrypt0r 2.0(计算机病毒)勒索病毒计算机病毒赞同 35441 条评论分享喜欢收藏申请
百度百科-验证
百度百科-验证
WannaCry勒索病毒事件的“来龙去脉”-阿里云开发者社区
WannaCry勒索病毒事件的“来龙去脉”-阿里云开发者社区
产品解决方案文档与社区权益中心定价云市场合作伙伴支持与服务了解阿里云联系我们4008013260售前咨询售后服务其他服务我要建议我要投诉备案控制台开发者社区首页探索云世界探索云世界云上快速入门,热门云上应用快速查找了解更多问产品动手实践考认证TIANCHI大赛活动广场活动广场丰富的线上&线下活动,深入探索云世界任务中心做任务,得社区积分和周边高校计划让每位学生受益于普惠算力训练营资深技术专家手把手带教话题畅聊无限,分享你的技术见解开发者评测最真实的开发者用云体验乘风者计划让创作激发创新阿里云MVP遇见技术追梦人直播技术交流,直击现场下载下载海量开发者使用工具、手册,免费下载镜像站极速、全面、稳定、安全的开源镜像技术资料开发手册、白皮书、案例集等实战精华插件为开发者定制的Chrome浏览器插件探索云世界新手上云云上应用构建云上数据管理云上探索人工智能云计算弹性计算无影存储网络倚天云原生容器serverless中间件微服务可观测消息队列数据库关系型数据库NoSQL数据库数据仓库数据管理工具PolarDB开源向量数据库热门Modelscope模型即服务弹性计算云原生数据库物联网云效DevOps龙蜥操作系统平头哥钉钉开放平台大数据大数据计算实时数仓Hologres实时计算FlinkE-MapReduceDataWorksElasticsearch机器学习平台PAI智能搜索推荐人工智能机器学习平台PAI视觉智能开放平台智能语音交互自然语言处理多模态模型pythonsdk通用模型开发与运维云效DevOps钉钉宜搭支持服务镜像站码上公益
开发者社区
安全
文章
正文
WannaCry勒索病毒事件的“来龙去脉”
2017-11-14
3017
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
一、背景:
2017年5月12日是个平静的日子,大家都高高兴兴地收拾回家度周末了。然而,从下午开始,网络安全公司就不断接到用户求救电话,越来越多的用户遭受计算机病毒袭击,电脑被加密锁闭……周末的深夜,公司的灯被陆续点亮,售后工程师被召回,研发经理被召回,测试人员被召回,售前工程师被召回,销售也被召回…一场大规模、全球性的计算机病毒事件就这样悄然来到了。银行的ATM提款机“罢工”了,加油站的电脑“停业”了,学校即将答辩学生的论文被加密了,机场预告飞机到达的屏幕“红屏”了,出入境大厅的计算机“休息”了,车管所服务大厅贴出了故障的告示……
就是这个屏幕!让很多人心惊肉跳,见到它,就意味着你的数据很难再找回来了,一切从你新买机器之时从新开始……
事情的经过是这样的:NSA(NationalSecurity Agency),美国国家安全局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。NSA的高手们开发了很多的网络武器,在2013年6月左右,其中的一些武器被一个自称“影子经纪人”(Shadow Breakers)的黑客组织窃取。这个组织的人想利用这些“军火”换些钱花,就开始在黑市上叫卖,希望能给个好价钱,但令人“气愤”的是没人愿意出大价钱(要价100万比特币)。军火变不成钱就成了“废品”,这让不善做生意的黑客们很生气,就干脆在互联网上公布其中的一些武器,免费送大家,也算是做个广告吧,既诱惑大家,又显示这些武器的强大威力,当然目的还是找买家。在公布的武器中一个叫做“永恒之蓝”(Eternal Blue),是针对微软操作系统的,武器利用的漏洞有个“0DAY”,是SMB的漏洞,微软命名为MS17-010。今年3月,微软公司专门放出针对这一漏洞的补丁,4月16日,中国的CNCERT发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报,并对有可能产生的大规模攻击进行了预警,但大家都没有引起足够的重视,不过就是个小病毒吗,杀掉就行了,大不了使用专杀工具。
然而这次的事情有些不同……我再回头说说勒索软件病毒的历史…
1989年,由Joseph Popp制作的AIDS木马病毒,通过软盘传播,加密磁盘上的文件,要求受害人缴纳189美元才能解除锁定,因此叫做勒索软件病毒。2008年,病毒出现新变种升级,使用了1024位的RSA加密,让被害人无法自己破解加密,不给钱就没有出路,美国政府也在使用这种强度的加密算法,你想想能容易破解吗?2013年,为了能够拿到钱还不被警察发现,加密勒索病毒操作者们开始利用流行的“比特币交易平台”勒索提款,就是通过比特币交易洗钱,成效显著,仅仅在年底12月15日到18日间,就利用比特币从受害者身上吸取2700万美元。
不幸的事情终于发生了。2017年2月,勒索病毒的开发者,看上了NSA泄漏出来的军火武器“永恒之蓝”,将“永恒之蓝”改变成一个蠕虫病毒“WannaCry”,再把加密勒索代码放进这个蠕虫。利用“永恒之蓝”的渗透能力迅速感染大量电脑,再启动勒索部分,加密用户数据,在家中等待受害者送钱上门。WannaCry勒索蠕虫病毒就这样诞生了,与以往不同的是,“永恒之蓝”给予它强大的渗透传播能力,网络武器可是非常专业的,它的厉害瞬间让全世界的网民们领教了。
经过就是这样,永恒之蓝,一个多么美的网络武器名称,现在变成臭名昭著的勒索病毒WannaCry的代名词。
从前,大多数病毒需要诱导用户主动点击附有病毒攻击代码的附件,或者是相关木马链接才能中招,WannaCry病毒的可怕之处是,无需用户做任何操作,只要你开放445 文件共享端口的Windows 设备处于开机上网状态,它就可以在同一个网络的计算机之间传播并且进行复制,形成链条式的传播扩散,黑客就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
更为麻烦的是,以往的病毒,多数是阻塞网络,蓝屏死机,无非就是给添乱而已;这次是加密文件,拿钱来换。不给钱,安全厂家们好像无解;给钱,对方是谁在哪里都不知道,钱给出去了,就一定能解吗?虽然病毒操作者们说得信誓旦旦,却基本上是听天由命,据说这次勒索病毒加密采用了2048位的RSA算法(我没有确认)。中毒后的成本太高,让一脸茫然的用户们是彻底坐不住了。
总算最后的结果还是不错的,虽然这次病毒蔓延范围很广,感染机器众多,但是,主要感染的还是一些不升级补丁,安全管理较差的计算机。另外,病毒爆发后,安全公司及时推出各种补丁与防护措施,督促未中招的用户及时升级,从周一开始进行了大规模的网络安全事件应急处理,病毒继续蔓延的趋势到今天基本制止住了。
据说,这次勒索病毒者也没有获得多大的金钱收益。
二、病毒背后的事情才是更可怕的
再怎么说,WannaCry也只是一个蠕虫病毒,事件的风波很快就会过去,用户也很快会忘记,但是,这件事情的背后很多事情值得我们关注,并且“影子经纪人”的黑客们并没有拿到钱,WannaCry病毒的操作者也收获不多,后续还会发生什么,总感觉事情还远没有结束。
下面是我的几个疑问,也希望挖掘一下这次病毒事件背后可怕的事情:
1、黑客组织手里还有多少个这样可怕的网络武器?
WannaCry蠕虫事件中,“影子经纪人”做了一个“活雷锋”,自己没有什么好处,估计他们很不爽。据说NSA旗下的“方程式黑客组织”使用的网络武器有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。这其中的网络武器,包括可以远程攻破全球约70%Windows机器的漏洞利用工具。
“影子经纪人”黑客组织刚刚发布了声明,说从2017年6月开始,要继续公布更多的0Day漏洞-网络武器,感觉这就是开启了一个“火药库”,接下来还会引爆什么,我不敢想。
2、漏洞交易黑市为啥越来越火?
“有需求就有商人牟利”。漏洞交易的黑市场一直很活跃,这次“永恒之蓝”让它站在了公众的面前,有何感想?
“永恒之蓝”利用了Windows系统的高级漏洞,作为NSA的网络武器,显然这个漏洞被发现的年头不会很短。但是,直到武器被泄露发布,漏洞才公布于世,2017年微软才提供补丁。也就是说:可能微软在2017年前不知道这个漏洞,或者说是知道认为还无法利用(没有发现有利用代码),总之那些拥有“永恒之蓝”的人,入侵Windows系统是简单容易的事情。
这让我想起,目前互联网上那么多的网络安全爱好者都在挖漏洞,有黑帽子为了利益挖掘漏洞,有白帽子为了荣誉挖掘漏洞,还有国家网络部队为了工作而挖掘漏洞……这么多的漏洞,都去哪里了?有多少被公布?厂家修正发补丁的能占几成呢?更多的漏洞在“黑市”上交易(据传闻,一个高级Windows漏洞价值一辆跑车),无论交易给谁,对广大的用户都未必是好消息。
用户想问的就是:很多漏洞在公布之前,经过了多少次交易,有多少组织都已经掌握,他们已经使用了多久呢?这是一个很多人都有答案,却没有人敢回答的问题。我们还记得,前些年的“心脏滴血”漏洞好像也有这样的传闻。
3、比特币平台是勒索的帮凶吗?
勒索病毒选择用比特币付费,就是看中比特币交易平台的隐匿性,即付费人与收费人没交互,你无法跟踪收费人在哪里,是谁。比特币是虚拟钱币,发明出来之后成为跨国投资的一种工具,因为其跨国性、隐匿性,也成为洗钱的一种最佳工具。记得美国有Tor系统,是间谍们情报交易、军火交易的平台,其最大特点就是无法追踪收钱方是谁。
WannaCry蠕虫的操纵者,明显是非法勒索,公开收钱很容易暴露自己,选择比特币交易,就变相保护了自己,客观上可以说:比特币交易平台成为WannaCry蠕虫病毒操纵者勒索的帮凶。
比特币平台有义务支持各个国家被WannaCry蠕虫病毒勒索受害者的维权行为,有义务支持各个国家对勒索者进行合法的检查与追踪。
4、我们的安全防护将被引向哪里?
安全没有绝对的,看你遇到的是什么级别的对手。普通用户、一般的企业,要应对国家背景的网络攻击,能挡住攻击的概率不会很高。尤其是要应对这些0Day漏洞,高级网络武器,这在网络安全界有个名词---高级威胁。这里没有说是APT攻击,因为多数人认为APT攻击是针对政府、国家目标攻击的,而现在,攻击者使用的武器是一样的,都是原子弹级别的,但对付的是普通的网民。
“要经得住打击,就要先强大自己”。靠筑墙是不长久的,互联网是世界性的,无论它是否有国界,国界在哪里,网络都将连通世界每一个角落,这是大势所趋。
WannaCry蠕虫事件再次提醒我们,以“网络边界隔离+访问控制策略”为基础的边界保障思路已经过时,以“动态监控+态势感知、身份授权+行为审计”为核心的安全机制管理保障时代正在来临。也就是说:网络安全防御中心从边界检查转向内部监控。
本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/1926894,如需转载请自行联系原作者
余二五
目录
热门文章
最新文章
为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理解决方案技术解决方案文档与社区文档开发者社区天池大赛培训与认证权益中心免费试用高校计划企业扶持计划推荐返现计划支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心关注阿里云关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务联系我们:4008013260法律声明Cookies政策廉正举报安全举报联系我们加入我们阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么© 2009-2024 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015浙公网安备 33010602009975号浙B2-20080101-4
WannaCry - 维基百科,自由的百科全书
WannaCry - 维基百科,自由的百科全书
跳转到内容
主菜单
主菜单
移至侧栏
隐藏
导航
首页分类索引特色内容新闻动态最近更改随机条目资助维基百科
帮助
帮助维基社群方针与指引互助客栈知识问答字词转换IRC即时聊天联络我们关于维基百科
搜索
搜索
创建账号
登录
个人工具
创建账号 登录
未登录编辑者的页面 了解详情
贡献讨论
目录
移至侧栏
隐藏
序言
1背景
2影响
开关影响子章节
2.1中国大陆
2.2香港
2.3台湾
2.4英国
2.5日本
2.6其他
3病毒功能
4应对措施
开关应对措施子章节
4.1防御
4.2复原数据
5评论
6调查
7軼事
8参见
9参考资料
10外部链接
开关目录
WannaCry
52种语言
AfrikaansالعربيةAzərbaycancaБългарскиभोजपुरीBosanskiCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiEuskaraفارسیSuomiFrançaisעבריתहिन्दीMagyarՀայերենBahasa IndonesiaItaliano日本語한국어LombardLietuviųമലയാളംBahasa Melayuမြန်မာဘာသာNederlandsਪੰਜਾਬੀPolskiPortuguêsRomânăРусскийSrpskohrvatski / српскохрватскиSimple EnglishSlovenčinaSlovenščinaСрпски / srpskiSvenskaதமிழ்ТоҷикӣไทยTürkçeУкраїнськаاردوTiếng Việt文言粵語
编辑链接
条目讨论
不转换
不转换简体繁體大陆简体香港繁體澳門繁體大马简体新加坡简体臺灣正體
阅读编辑查看历史
工具
工具
移至侧栏
隐藏
操作
阅读编辑查看历史
常规
链入页面相关更改上传文件特殊页面固定链接页面信息引用本页获取短URL下载二维码维基数据项目
打印/导出
下载为PDF打印页面
在其他项目中
维基共享资源
维基百科,自由的百科全书
此條目介紹的是2017年5月12日开始流行的电脑軟體。关于有勒索行为的軟體,请见「勒索軟體」。
WannaCry解密程序截图,Wanna Decrypt0r 2.0。日期2017年5月12日 (2017-05-12)-2017年5月15日 (2017-05-15)地点全球类型加密性勒索软件、電腦蠕蟲主题网络攻击、漏洞利用参与者The Shadow Brokers结果超过230,000台计算机受到影响[1],但目前受控
WannaCry(直译“想哭”[2][3]、“想解密”[4],俗名“魔窟”[5][6],或称WannaCrypt[7]、WanaCrypt0r 2.0[8][9]、Wanna Decryptor[10])是一种利用NSA的“永恒之蓝”(EternalBlue)漏洞利用程序透過互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索軟體兼蠕虫病毒(Encrypting Ransomware Worm)。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币,使用Tor进行通讯[11],为WanaCrypt0r 1.0的变种[12]。
2017年5月,此程式大规模感染包括西班牙電信在内的许多西班牙公司、英国國民保健署[13]、聯邦快遞和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(截至2018年,已有大约150个国家遭到攻击)。[14][15][16][17]俄罗斯联邦内务部、俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon(英语:MegaFon)共有超过1000台计算机受到感染。[18]於中国大陆的感染甚至波及到公安机关使用的内网[19],国家互联网应急中心亦发布通报[20][21]。
WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。[17][9]“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主[22][需要較佳来源]。“永恒之蓝”利用了某些版本的微软伺服器訊息區塊(SMB)协议中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修复该漏洞的安全补丁已經于此前的2017年3月14日发布[23],但并非所有计算机都进行了安装[24]。
背景[编辑]
此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”(EternalBlue)工具。黑客组织“影子掮客”(The Shadow Brokers)在2017年4月14日发布了一批从方程式组织(Equation Group)泄露的工具,其中便包括“永恒之蓝”[25][26][27];而方程式集团据信是属于美国国家安全局[28][29]。
永恒之蓝利用了Windows服务器消息块1.0(SMBv1)的數個漏洞,這些漏洞在通用漏洞披露(CVE)網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就这些漏洞,微软公司已于2017年3月14日在TechNet發佈“MS17-010”的資訊安全公告,並向用户推送了Windows系统修复补丁“KB4013389”封堵此漏洞。[23]但因该補丁只適用於仍提供服务支持的Windows Vista或更新的作業系統(注:此补丁不支持Windows 8),較舊的Windows XP等作業系統並不适用。[23]不少用户也因各种原因而未开启或完成系统补丁的自动安装。
2017年4月21日起,安全研究者检测到数以万计被安装DoublePulsar(英语:DoublePulsar)后门的计算机[30],该后门是另一款从NSA外泄的黑客工具[31]。截至4月25日,感染该后门的计算机估计有几十万台,数字每天还在呈指数增长[32][33]。除EternalBlue外,WannaCry的本轮攻击也利用了这一名为DoublePulsar的后门[34][35]。
2017年5月12日[36],WannaCry在国际互联网开始广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密[37][38],然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机[39],而处于同一局域网的相邻主机也会被感染。[40]这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。[23]与此同时,微软也通告用户,不要再使用老旧的第一代服务器消息块,应该以最新的第三代服务器消息块取而代之。[41]
没有及时下载这个补丁的Windows主机很可能被感染,而到目前为止,没有证据显示攻击者是有目标的进行攻击。还在运行已被微软淘汰的Windows XP的主机则非常危险,因为微软早已不对Windows XP提供安全更新与支持。[42]但由于此次事件的严重性,微软后已为部分已经淘汰的系统发布了漏洞修复补丁,Windows XP、Windows Server 2003和Windows 8用户都可从微软网站下载修复补丁[43]。但部分腾讯电脑管家用户因补丁遭到屏蔽而未能接受到安全更新,事后据官方回应,部分第三方修改系统安装补丁后可能致使蓝屏、系统异常,因此有部分用户补丁被屏蔽[44][45]。
影响[编辑]
首轮受到攻擊的國家及地區
中国大陆[编辑]
2017年5月12日晚,中国大陆內地部分高校学生反映电脑被病毒攻击,檔案被加密。病毒疑似透過教育网传播[46]。随后,山东大学、南昌大学、广西师范大学、桂林電子科技大學、大连海事大学、东北财经大学等十几家高校发布通知,提醒师生上网时注意防范[47][48]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等警方内部网和政企专网也遭遇了病毒袭击,许多警方部门和政府部门由於勒索软件的影响被迫停止工作[49][50][51][52]。中国国家互联网应急中心发布关于防范WannaCry的情况通报,称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个[53]。由于中国大陆个人网络用户的445网络端口大多已被网络运营商屏蔽,故该病毒对一般家庭用户影响不大[54]。而且病毒首轮传播时,中国大陆正值週五夜晚,事发后许多安全软件已立即呼吁用户完成更新以抵抗病毒。
香港[编辑]
截至香港時間2017年5月16日為止,香港電腦保安事故協調中心收到受加密勒索軟件「WannaCry」攻擊的報告,增至31宗,比15日多14宗。新增個案一宗來自商業機構,其餘是家庭用戶,大部分都是使用微軟Windows軟件或伺服器。其中家庭用戶多使用Windows 7;商業用戶涉及Windows 7及Windows Server 2008系統[55]。香港警方亦接獲3宗有關報案。[56][57]
台湾[编辑]
此病毒也重創臺灣,爆發初期,受到感染的電腦使用者於PTT、Dcard等社群發文,而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。
2018年8月3日台積電發生成立以來重大資安事件,造成竹科、中科與南科廠區停工,此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒,造成「WannaCry」變種病毒進入公司網路,令機台當機或是重複開機。此次受到感染的機台與自動搬運系統,以及相關的電腦系統,主要是使用Windows 7卻未安裝修正軟體於機台自動化介面,以致受影響的機台無法運作以及部分自動搬運系統無法正常運作。[58]
英国[编辑]
勒索软件影响了英国医疗系统的运作。[59]由於勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[16][60]英国国民保健署在2016年仍然有上千台电脑在使用Windows XP,[61]而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。
日本[编辑]
据日本警察厅声称,截至5月18日,在日本境内被确认的受害事件共21件。具体为东京、大阪等地共4个企业、神奈川县内的行政机关、茨城县的一家医院等。[62]当地时间15日,日本政府于首相官邸危机管理中心设置“情报联络室”。[63]6月19日,本田在狭山市的汽车工厂受WannaCry影响停工一天。[64]
其他[编辑]
此外,巴西圣保罗法院[65]、加拿大公共卫生服务机构湖嶺醫療網絡(英语:Lakeridge Health)[66]、哥伦比亚国立卫生研究院[67]、法国雷诺[68]、德国铁路系统[69]、印度安得拉邦警察局[70]、印度尼西亚的多家医院[71]、意大利米兰比科卡大学[72]、罗马尼亚外交部[73][74]、俄罗斯通讯运营商MegaFon(英语:MegaFon)[75]、俄罗斯联邦内务部[76]、俄罗斯铁路[77]以及西班牙[78]、瑞典[71]、匈牙利[79]、泰国[80]、荷兰[81]、葡萄牙[82]等将近一百个国家的机构院所也受到波及。
病毒功能[编辑]
以下以2017年5月第一次大规模传播的病毒版本为主;该病毒早前的一个版本曾于4月透過电子邮件和有害Dropbox链接传播,但没有利用Windows漏洞进行主动传播的能力[83]。
通过利用漏洞,病毒不需要打搅用户,可以静默获得操作系统的特权,然后得以在本地网络中传染。[84]
简而言之,程序在加载完成后会调用Windows的CryptoAPI,新生成一对2048位的RSA密钥。密钥对包括私钥和公钥,它们会被存储至被感染计算机;但解密时需要的私钥在存储前会使用程序自带的另一RSA公钥加密,该公钥对应的私钥由攻击者持有。[85]
随后程序会遍历存储设备(部分系统文件夹等除外[12]),加密特定扩展名的文件;程序在加密文件时使用AES算法,会为每一个文件随机生成一个128位AES密钥,密钥随后会被程序加载完后生成的RSA公钥加密,并在当前文件加密完后存储在该文件的头部[11]。程序还会调用命令提示符删除设备上的卷影副本(Shadow copy)备份[86]。早先有报道认为这一操作可能会引起UAC弹框而被用户注意到[87],但后续分析指出,病毒是通过内核漏洞注入系统进程来执行的,传染过程中并不会有UAC弹窗出现[88]。
加密过程结束后,病毒会把系统壁纸替换成英语告示[87],并显示一封提供28种语言版本的勒索信[60],其中部分可能使用了机器翻译[89][90]。程序要求用户支付与300至600美元等值的比特币[87][91],并在勒索信中給予被感染者3天期限,如若超過贖金會翻倍,超过一周仍未付款則會“撕票”[92]。在勒索信中,病毒还声称今后可能举行免费恢复活动,对象是运气好且“半年以上没钱付款的穷人”[93]。
程序透過Tor匿名网络与攻击者的服务器连接[87]。此外,程序还会在计算机所属局域网内,隨機连接其他電腦SMB使用的TCP/UDP 445與139等埠以自我传播[40],并尝试用同樣方式随机感染互联网上的其他计算机[39]。
据思科分析,病毒在感染其他计算机时会尝试透過DoublePulsar(英语:DoublePulsar)后门安装[94]。而根据《连线》的报道,此病毒也会同时在计算机上安装该后门[17],现已有脚本可检测并移除[39]。
攻击者在程序中硬编码了至少3个比特币地址(或称“钱包”),以接收受害者的赎金[95],这些钱包的真实拥有者身份不明,但交易情况和余额是公开的。有人在Twitter上设置了一个机器人(英语:Twitterbot),以实时追踪这三个钱包收到的转账。[96]截至2017年5月14日 (2017-05-14)[update],攻击者已获得约合3.2万美元的比特币[97]。
应对措施[编辑]
防御[编辑]
若想有效防御此蠕虫的攻击,首先应立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8应根据微软的用户指导安装更新。
当不具备条件安装安全更新,且没有与Windows XP (同期或更早期Windows)主机共享的需求时,应当根据Microsoft安全公告MS17-010[98]中的变通办法[99],禁用SMBv1协议,以免遭受攻击。虽然利用Windows防火墙阻止TCP 445端口也具备一定程度的防护效果,但这会导致Windows共享完全停止工作,并且可能会影响其它应用程序的运行,故应当按照微软公司提供的变通办法[99]来应对威胁。
2017年5月第一次大规模传播时,署名为MalwareTech的英国安全研究员在当时的病毒中发现了一个未注册的域名,主因是病毒內建有傳播開關(Kill Switch),會向該域名發出DNS請求,用於測試病毒是否處於防毒軟件的虛擬運作環境中,由於該域名並沒有設置DNS,所以正常情況是不會有回應,若有回應就說明處於虛擬環境下,病毒會停止傳播以防被防毒軟件清除[100][101][102]。这名安全研究员花费8.29英镑注册域名后发现每秒收到上千次请求。在该域名被注册后,部分计算机可能仍会被感染,但“WannaCry的这一版本不会继续传播了”[103]。
然而需要注意的是,在部分网络环境下,例如一些局域网、内部网,或是需要透過代理服务器才能访问互联网的网络,此域名仍可能无法正常连接[104][39]。另外,有报道称该病毒出现了新的变种,一些变种在加密与勒索时并不检查这一域名[105][106][107]。
复原数据[编辑]
該病毒會「读取源文件并生成加密文件,直接把源文件作删除操作」[108]。2017年5月19日,安全研究人员Adrien Guinet发现病毒用来加密的Windows API存在的缺陷,在Windows10以下版本的操作系统中,所用私钥会暂时留在内存中而不会被立即清除。他开发并开源了一个名为wannakey的工具,并称这适用于为感染该病毒且运行Windows XP的计算机找回文件,前提是该计算机在感染病毒后并未重启,且私钥所在内存还未被覆盖(这需要运气)[109]。后有开发者基于此原理开发了名为「wanakiwi」的软件,使恢复过程更加自动化,并确认该方法适用于运行Windows XP至Windows 7时期间的多款Windows操作系统[110]。一些安全厂商也基于此原理或软件开发并提供了图形化工具以帮助用户恢复文件[111][112]。
评论[编辑]
一些人士批评与此事件有关联的美国国家安全局(NSA)。棱镜计划告密人爱德华·斯诺登称,如果NSA“在发现用于此次对医院进行攻击的缺陷时就进行私下披露(英语:Responsible disclosure),而不是等到丢失时才说,(此次攻击)就可能不会发生”[60]。微软总裁布拉德·史密斯则表示:“政府手中的漏洞利用程序一次又一次地泄露到公共领域,造成广泛破坏。如果用常规武器来说,这种情况等同于美军的战斧导弹发生失窃。”[113][114]
也有人士聚焦于网络安全意识方面。德国联邦信息安全办公室主任Arne Schönbohm声明道:“现在发生的攻击突显出我们的信息社会是多么脆弱。这对公司是一次警醒,是时候认真考虑IT安全了。”[115][116]美国外交关系协会数字和网络政策项目负责人亚当·谢加尔(英语:Adam Segal)认为政府和私营部门的补丁和更新系统运转不正常,不是所有人都会在第一时间为系统漏洞打上补丁[117];半岛电视台在文章中引述观点称,许多企业的员工缺乏网络安全方面的训练[116]。《福布斯》网站上的一篇专栏文章则认为,该攻击生动地证明了安全(英语:Storage security)备份和良好安全习惯的重要性,包括及时安装最新的安全更新[118]。英国首相特雷莎·梅也就此次攻击发表讲话,称英国国家网络安全中心正在与所有受攻击的机构合作调查[119]。特雷莎·梅还表示:“这不是针对国民保健署的攻击,这是国际性的攻击,全世界数以千计的国家和组织都受到了影响[120]。”
调查[编辑]
2017年5月29日,据CNET引述美国安全公司闪点(Flashpoint)发布的报告称,根据对病毒附带的28种语言撰写的勒索信的文法分析研究,病毒制造者有可能是一名中文母语者[121],其中文版勒索信文法道地,而英文版有一些语法错误,其他语言版本则更像是借助Google翻译以机器翻译而得[122]。在早前的5月16日,Google、卡巴斯基、闪点等多家安全公司的安全研究员曾发文认为,病毒的幕后黑手可能是源自朝鲜的“拉撒路组”(Lazarus Group)黑客组织[123],而据传该组织成员居于中国[121]。但奇虎360和安天的安全工程师认为闪点网络情报公司仅以语言判断是十分不专业的臆测行为,質疑其只是為了吸引目光焦點[124]。
2017年6月17日,据《华盛顿邮报》报道,NSA的内部报告认为此恶意软件来自朝鲜情报机关赞助的黑客团体,并对这份报告有“中等信心(moderate confidence)”。[125]英国国家网络安全中心(英语:National Cyber Security Centre (United Kingdom))(NCSC)也发布报告将此事件源头指向北韓的黑客团队[126][127]。
2017年10月,微软总裁布莱德·史密斯(Brad Smith)接受ITV采访称,他非常相信北韓是影响全球150个国家摧毁20万台电脑的幕后黑手[128]。
軼事[编辑]
2017年5月15日,臺灣一名Windows XP使用者遭受WannaCry的攻擊後,因電腦配備老舊,導致WannaCry程式運作到一半,突然「停止回應」而無法運作。[129][130]
参见[编辑]
知名病毒及蠕蟲的歷史年表
Petya
WannaRen
参考资料[编辑]
^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. [2017-05-13]. (原始内容存档于2019-04-09).
^ 不哭! 有办法对付“想哭”电脑勒索病毒了!. BBC中文网. 2017-05-13 [2017-05-14]. (原始内容存档于2021-08-19).
^ 勒索软件威胁远未消失15日开机面临考验. 人民网. 新华社. 2017-05-15 [2017-05-15]. (原始内容存档于2017-08-05).
^ 揭秘勒索病毒威力有多大:不到十秒所有文件被加密. 搜狐. [2017-05-24]. (原始内容存档于2019-06-28).
^ 病毒来袭!交通行业网安专家权威答疑支招. 中国交通新闻网. 2017-05-15 [2017-05-20]. (原始内容存档于2021-06-21).
^ 勒索蠕虫“魔窟(WannaCry)”FAQ之三. 安天实验室. [2017-05-20]. (原始内容存档于2019-06-19).
^ MSRC Team. Customer Guidance for WannaCrypt attacks. Microsoft. [2017-05-13]. (原始内容存档于2017-05-21).
^ Jakub Kroustek. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc. 2017-05-12 [2017-05-14]. (原始内容存档于2019-05-05).
^ 9.0 9.1 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. [2017-05-12]. (原始内容存档于2018-06-28).
^ Woollaston, Victoria. Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?. WIRED UK. [2017-05-13]. (原始内容存档于2017-05-13) (英国英语).
^ 11.0 11.1 Global WannaCry ransomware outbreak uses known NSA exploits. [2017-05-14]. (原始内容存档于2021-02-11).
^ 12.0 12.1 RANSOM_WCRY.C - Threat Encyclopedia - Trend Micro USA. www.trendmicro.com. [2017-05-14]. (原始内容存档于2021-06-18) (英语).
^ Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容存档于2017-05-15) (英国英语).
^ Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13]. (原始内容存档于2017-05-19) (英国英语).
^ Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容存档于2017-05-12) (英国英语).
^ 16.0 16.1 NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-12) (英国英语).
^ 17.0 17.1 17.2 Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-21).
^ Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13]. (原始内容存档于2017-05-12) (美国英语).
^ cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13]. (原始内容存档于2021-08-01) (中文(中国大陆)).
^ 国家互联网应急中心关于防范Windows操作系统勒索软件Wannacry的情况通报. 国家互联网应急中心. 2017-05-13 [2017-05-13]. (原始内容存档于2022-04-19).
^ 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. (原始内容存档于2021-08-01).
^ 花子健. 这次全球规模的网络病毒攻击 每天动动手指就能解决. 凤凰网. 2017-05-13 [2017-05-13]. (原始内容存档于2021-06-23) (中文).
^ 23.0 23.1 23.2 23.3 Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com. 微软. 2017-03-14 [2017-05-13]. (原始内容存档于2017-05-21) (英语).
^ 15:58, 12 May 2017 at. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. [2017-05-13]. (原始内容存档于2017-05-19).
^ Menn, Joseph. Russian researchers expose breakthrough U.S. spying program. Reuters. 2015-02-17 [2015-11-24]. (原始内容存档于2015-09-24).
^ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica. [2017-04-15]. (原始内容存档于2017-05-13) (美国英语).
^ misterch0c. GitHub. [2017-04-15]. (原始内容存档于2022-04-09) (英语).
^ Fox-Brewster, Thomas. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. 2015-02-16 [2015-11-24]. (原始内容存档于2015-11-19).
^ Latest Shadow Brokers dump—owning SWIFT Alliance Access, Cisco and Windows. Medium. 2017-04-14 [2017-04-15]. (原始内容存档于2017-05-18).
^ Goodin, Dan. >10,000 Windows computers may be infected by advanced NSA backdoor. ARS Technica. [2017-05-14]. (原始内容存档于2017-07-18) (英语).
^ Over 36,000 Computers Infected with NSA's DoublePulsar Malware. BleepingComputer. [2017-05-14]. (原始内容存档于2021-09-26) (英语).
^ Goodin, Dan. NSA backdoor detected on >55,000 Windows boxes can now be remotely removed. ARS Technica. [2017-05-14]. (原始内容存档于2017-07-10) (英语).
^ Broersma, Matthew. NSA Malware 'Infects Nearly 200,000 Systems'. Silicon. [2017-05-14]. (原始内容存档于2017-05-06) (英语).
^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Gizmodo. 2017-05-13 [2017-05-15]. (原始内容存档于2019-04-09) (英语).
^ How One Simple Trick Just Put Out That Huge Ransomware Fire. Forbes. 2017-05-13 [2017-05-15]. (原始内容存档于2021-06-04) (英语).
^ Newman, Lily Hay. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. [2017-05-13]. (原始内容存档于2017-05-19).
^ Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. The Telegraph. [2017-05-12]. (原始内容存档于2017-05-12) (英国英语).
^ Bilefsky, Dan; Perlroth, Nicole. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331. (原始内容存档于2017-05-12).
^ 39.0 39.1 39.2 39.3 Clark, Zammis. The worm that spreads WanaCrypt0r. Malwarebytes Labs. malwarebytes.com. [2017-05-13]. (原始内容存档于2017-05-17).
^ 40.0 40.1 Samani, Raj. An Analysis of the WANNACRY Ransomware outbreak. McAfee. [2017-05-13]. (原始内容存档于2017-05-13).
^ JoseBarreto. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. 微软. 2015-04-21 [2017-05-13]. (原始内容存档于2017-05-21).
^ Windows XP End of Support. www.microsoft.com. [2017-05-13]. (原始内容存档于2016-11-08).
^ The Microsoft Security Response Center (MSRC). Customer Guidance for WannaCrypt attacks. blogs.technet.microsoft.com/msrc. 微软. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21).
^ Team, Discuz! Team and Comsenz UI. 腾讯电脑管家论坛. bbs.guanjia.qq.com. [2017-05-15]. (原始内容存档于2017-08-05).
^ 勒索病毒肆虐背后:互联网“变得更安全了”只是一种错觉| PingWest品玩. www.pingwest.com. [2017-05-16]. (原始内容存档于2018-06-16). 在腾讯电脑管家论坛关于此次WannaCry的官方知识贴中,主动解释了“为何微软3月发布的补丁会被屏蔽”
^ 马卡. 全国部分高校校园网受大规模病毒攻击:传播迅猛、勒索比特币. IT之家. 2017-05-12 [2017-05-13]. (原始内容存档于2021-06-03).
^ 仲平. 中国多所校园网发紧急通知:提醒防范勒索软件攻击. IT之家. 2017-05-13 [2017-05-13]. (原始内容存档于2017-07-24).
^ 何利权. “勒索软件病毒”肆虐中国多所高校:一旦中招便无法“挽救”. 澎湃新闻. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-17).
^ 远洋. 勒索软件蔓延,国内多地出入境系统疑受影响瘫痪. IT之家. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-16).
^ Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge. www.zerohedge.com. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16) (英语).
^ 中西部交管部门受勒索病毒影响山西部分交管业务暂停. 腾讯科技. 澎湃新闻. 2017-05-15 [2017-05-15]. (原始内容存档于2021-06-16).
^ 为应对勒索病毒!珠海紧急停办公积金业务加固升级内外网络. 新浪网. [2017-05-15]. (原始内容存档于2017-08-05).
^ 关于防范Windows操作系统勒索软件Wannacry的情况通报. CNCERT. 2017-05-13 [2017-05-13]. (原始内容存档于2021-06-20).
^ 勒索病毒肆掠全球100国,中国高校大量沦陷. 网易. 钛媒体. 2017-05-13 [2017-05-16]. (原始内容存档于2017-08-05).
^ 港增14宗WannaCry攻擊. 明報. 2017-05-17 [2017-05-17]. (原始内容存档于2017-08-05).
^ 本港遭WannaCry攻擊增至31宗警接3宗報案. 電視廣播有限公司. 2017-05-16 [2017-05-16]. (原始内容存档于2021-06-15).
^ 【WannaCry殺到】電腦保安事故協調中心:今日新增14攻擊個案. 明報. 2017-05-16 [2017-05-16]. (原始内容存档于2017-08-05).
^ 王宏仁. 【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(下). iThome. 2018-08-10 [2019-06-04]. (原始内容存档于2021-06-15) (中文(臺灣)).
^ Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. [2017-05-13]. (原始内容存档于2017-05-17) (英语).
^ 60.0 60.1 60.2 Wong, Julia Carrie; Solon, Olivia. Massive ransomware cyber-attack hits 74 countries around the world. The Guardian. London. 2017-05-12 [2017-05-12]. (原始内容存档于2017-05-21) (英语).
^ NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. [2017-05-13]. (原始内容存档于2017-05-18) (英语).
^ サイバー攻撃 日本での被害 21件確認. 2017-05-18. [永久失效連結]
^ 政府サイバー攻撃対策の「情報連絡室」を設置. 2017-05-15. [永久失效連結]
^ WannaCry勒索病毒阴魂不散:本田汽车工厂遭殃了. 快科技. 2017-06-22 [2017-06-25]. (原始内容存档于2019-06-10) (中文).
^ WannaCry no Brasil e no mundo. O Povo. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21) (葡萄牙语).
^ Ontario health ministry on high alert amid global cyberattack | Toronto Star. Thestar.com. 2017-05-13 [2017-05-22]. (原始内容存档于2021-06-04).
^ Instituto Nacional de Salud, entre víctimas de ciberataque mundial. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16).
^ France’s Renault hit in worldwide ‘ransomware’ cyber attack. france24.com. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21) (西班牙语).
^ Weltweite Cyberattacke trifft Computer der Deutschen Bahn. faz.net. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-16) (德语).
^ Andhra police computers hit by cyberattack. Times of India. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-14) (英语).
^ 71.0 71.1 Global cyber attack: A look at some prominent victims. elperiodico.com. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-20) (西班牙语).
^ Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca. repubblica.it. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-17) (意大利语).
^ (罗马尼亚文) UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO. Libertatea. 2017-05-12 [2017-05-14]. (原始内容存档于2017-05-17).
^ (罗马尼亚文) Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța. Pro TV. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16).
^ Massive cyber attack creates chaos around the world. news.com.au. [2017-05-13]. (原始内容存档于2017-05-19).
^ Researcher 'accidentally' stops spread of unprecedented global cyberattack. ABC News. [2017-05-13]. (原始内容存档于2017-05-20).
^ Компьютеры РЖД подверглись хакерской атаке и заражены вирусом. Radio Liberty. [2017-05-13]. (原始内容存档于2017-05-16).
^ Un ataque informático masivo con 'ransomware' afecta a medio mundo. elperiodico.com. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-12) (西班牙语).
^ Balogh, Csaba. Ideért a baj: Magyarországra is elért az óriási kibertámadás. HVG. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-13) (匈牙利语).
^ เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี. blognone.com. 2017-05-13 [2017-05-14]. (原始内容存档于2021-06-04) (泰语).
^ Parkeerbedrijf Q-Park getroffen door ransomware-aanval.
^ PT Portugal alvo de ataque informático internacional. Observador. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-12) (葡萄牙语).
^ Massive WannaCry/Wcry Ransomware Attack Hits Various Countries - TrendLabs Security Intelligence Blog. TrendLabs Security Intelligence Blog. 2017-05-12 [2017-05-15]. (原始内容存档于2020-08-09) (英语).
^ 存档副本. [2017-05-13]. (原始内容存档于2017-05-13).
^ Trustlook. WannaCry Ransomware Scanner and Vaccine Toolkit. Trustlook. 2017-05-14 [2017-05-14]. (原始内容存档于2017-05-17) (英语).
^ WannaCrypt ransomware worm targets out-of-date systems. Windows Security. [2017-05-15]. (原始内容存档于2021-02-11) (英语).
^ 87.0 87.1 87.2 87.3 WannaCry ransomware used in widespread attacks all over the world - Securelist. securelist.com. [2017-05-14]. (原始内容存档于2017-06-03) (英语).
^ 存档副本. [2017-10-20]. (原始内容存档于2022-04-07).
^ WanaCrypt0rランサムウェア身代金ウイルス.wncry拡張子ファイル変更 - 無題な濃いログ. 無題な濃いログ. [2017-05-14]. (原始内容存档于2018-10-15) (日语).
^ Lee, Dave. 勒索软件WannaCry网络攻击:“或与朝鲜有关”?. BBC中文网. 2017-05-16 [2017-05-16]. (原始内容存档于2021-05-21) (中文(简体)). 而要求赎金的文本使用了机器翻译的英文
^ An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. [2017-05-14]. (原始内容存档于2017-05-12) (英语).
^ What you need to know about the WannaCry Ransomware. Symantec Security Response. [2017-05-14]. (原始内容存档于2021-06-04) (英语).
^ What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure. [2017-05-14]. (原始内容存档于2017-10-20) (英语).
^ Player 3 Has Entered the Game: Say Hello to 'WannaCry'. blog.talosintelligence.com. [2017-05-15]. (原始内容存档于2021-06-04) (英语).
^ 安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析 (PDF). [2017-05-23]. (原始内容 (PDF)存档于2017-05-21).
^ Collins, Keith. Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz. [2017-05-14]. (原始内容存档于2021-06-04) (英语).
^ 勒索病毒黑客获利达3.2万美元预计周一将大幅增加. 新浪科技. 2017-05-14 [2017-05-15]. (原始内容存档于2019-06-11).
^ Microsoft安全公告MS17-010.
^ 99.0 99.1 如何在Windows和Windows Server中启用和禁用SMBv1、SMBv2和SMBv3. [2017-06-07]. (原始内容存档于2017-06-27).
^ 原來WannaCry 2.0是失敗試作品 ! 真3.0變種版本已開始感染. Unwire.hk. 2017-05-15 [2017-05-15]. (原始内容存档于2017-05-15) (中文).
^ Francisco, Nadia Khomami Olivia Solon in San. 'Accidental hero' halts ransomware attack and warns: this is not over. The Guardian. 2017-05-13 [2017-05-15]. ISSN 0261-3077. (原始内容存档于2019-05-23) (英语).
^ 英国小哥意外拯救世界8.29英镑阻止网络病毒蔓延. [2017-05-14]. (原始内容存档于2021-06-15).
^ 勒索病毒全球蔓延 他利用几美元成功阻止灾难. [2017-05-14]. (原始内容存档于2017-05-13).
^ McCausland, Phil; Petulla, Sam. After Huge Global Cyberattack, Countries Scramble to Halt Spread of Ransomware. NBC News. [2017-05-14]. (原始内容存档于2021-06-20) (英语).
^ Khandelwal, Swati. It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'. The Hacker News. [2017-05-14]. (原始内容存档于2021-06-04) (英语).
^ Erpressungssoftware: Experten fürchten neue "WannaCry"-Attacken – SPIEGEL ONLINE – Netzwelt. SPIEGEL ONLINE. [2017-05-14]. (原始内容存档于2021-06-18) (英语).
^ Shieber, Jonathan. Companies, governments brace for a second round of cyberattacks in WannaCry’s wake. TechCrunch. [2017-05-14]. (原始内容存档于2021-06-04) (英语).
^ 【美亚柏科】针对"WannaCry"勒索病毒推出数据恢复方案. 搜狐. 2017-05-15 [2017-05-18]. (原始内容存档于2017-08-05).
^ Researcher Open Sources WannaKey Tool That Cracks WannaCry Ransomware Encryption. 2017-05-19 [2017-05-21]. (原始内容存档于2021-06-20).
^ Wanakiwi是WannaCry勒索病毒的快速解法(只要你还没重启...). engadget. 2017-05-19 [2017-05-20]. (原始内容存档于2019-06-12).
^ 安天发布魔窟WannaCry蠕虫解密工具,微信公众号文章的存档
^ 阿里云安全团队发布WannaCry“一键解密和修复”工具. 阿里云. [2017-05-21]. (原始内容存档于2019-06-10).
^ Ransomware attack 'like having a Tomahawk missile stolen', says Microsoft boss. The Guardian. 2017-05-14 [2017-05-15]. (原始内容存档于2022-04-07) (英语).
^ Smith, Brad. The need for urgent collective action to keep people safe online. microsoft.com. Microsoft. [2017-05-14]. (原始内容存档于2017-05-16) (英语).
^ WannaCry: BSI ruft Betroffene auf, Infektionen zu melden. heise online. [2017-05-14]. (原始内容存档于2022-04-08) (德语).
^ 116.0 116.1 WannaCry: What is ransomware and how to avoid it. Al Jazeera. [2017-05-14]. (原始内容存档于2018-10-17) (英语).
^ Helmore, Edward. Ransomware attack reveals breakdown in US intelligence protocols, expert says. The Guardian. 2017-05-13 [2017-05-14]. (原始内容存档于2021-06-04) (英语).
^ Coughlin, Tom. WannaCry Ransomware Demonstrations The Value Of Better Security and Backups. Forbes. [2017-05-14]. (原始内容存档于2022-04-07) (英语).
^ 专家揭勒索病毒:1台电脑染毒将攻击网内其他电脑. 央视网. [2017-05-15]. (原始内容存档于2019-06-10) (中文(中国大陆)).
^ Smith-Spark, Laura; Veselinovic, Milena; McGann, Hilary. UK prime minister: Ransomware attack is global. CNN. [2017-05-13]. (原始内容存档于2021-09-01).
^ 121.0 121.1 WannaCry勒索病毒再研究:攻击者的母语或是中文. 网易科技. [2017-05-29]. (原始内容存档于2017-08-05).
^ 美專家分析WannaCry 幕後黑手通曉中文. 东网. 东方报业. [2017-05-30]. (原始内容存档于2021-06-19).
^ 威锋网. 谷歌卡巴斯基等发现:勒索病毒幕后黑手或来自朝鲜. 搜狐. 2017-05-16 [2017-05-29]. (原始内容存档于2019-06-02).
^ 美网络情报公司臆测勒索软件与中国有关专家:分析极不专业且不靠谱. 中国日报网. 2017-06-10 [2017-06-17]. (原始内容存档于2021-06-22).
^ The NSA has linked the WannaCry computer worm to North Korea. 华盛顿邮报. 2017-06-14 [2017-06-17]. (原始内容存档于2021-06-04).
^ WannaCry ransomware attack 'linked to North Korea'. [2017-06-17]. (原始内容存档于2022-05-04).
^ IT之家. 英美安全机构同发报告:朝鲜黑客应对勒索病毒事件负责. 搜狐. [2017-06-17]. [永久失效連結]
^ N. Korea stole cyber tools from NSA, carried out WannaCry ransomware attack – Microsoft chief. [2017-10-15]. (原始内容存档于2022-03-05).
^ 入侵「骨董電腦」踢鐵板 WannaCry遭XP「強制中止」只能Cry. 東森新聞. 2017-05-16 [2017-12-12]. (原始内容存档于2017-12-13).
^ Windows XP computers were mostly immune to WannaCry. [2020-07-17]. (原始内容存档于2021-02-11).
外部链接[编辑]
维基共享资源上的相关多媒体资源:WannaCry
Microsoft安全公告MS17-010 (页面存档备份,存于互联网档案馆)
用户指导(页面存档备份,存于互联网档案馆)(微软中国翻译 (页面存档备份,存于互联网档案馆))
微软恶意软件防护中心上Ransom:Win32/WannaCrypt相关资料 (页面存档备份,存于互联网档案馆)(英文)
勒索软件席卷全球国内多种网络系统中招 - 新浪网专题 (页面存档备份,存于互联网档案馆)(简体中文)
MalwareTech网站发布的WannaCry世界各地感染实况(英文)
香港電腦保安事故協調中心WannaCry (WannaCrypt)加密勒索軟件加密受害者數據 (页面存档备份,存于互联网档案馆)
法律主题資訊科技主题微軟主题互联网主题
查论编电脑入侵事件
2003年骤雨计划
2009年极光行动
2010年澳大利亚网络攻击(英语:February 2010 Australian cyberattacks)
2010年偿还行动(英语:Operation Payback)
2011年DigiNotar黑客入侵事件
2011年突尼斯行动(英语:Operation Tunisia)
2011年PSN个人信息泄露事件
2011年反安全行动(英语:Operation AntiSec)
2012–2013年斯特拉特福公司电邮泄露事件
2012年领英黑客入侵事件(英语:2012 LinkedIn hack)
2013年南韩网络攻击(英语:2013 South Korea cyberattack)
2013年Snapchat黑客入侵事件
2014年Tovar行动(英语:Operation Tovar)
2014年日本文殊核电站电脑病毒事件
2014年名人照片泄露事件
2014年心脏出血漏洞
2014年破壳漏洞
2014年贵宾犬漏洞
2014年索尼影业黑客入侵事件
2015年FREAK漏洞
2015年美国联邦人事管理局资料外泄案
伟易达集团
孟加拉银行遭黑客入侵事件
Dyn网络攻击
俄羅斯干預美國總統選舉
WannaCry勒索病毒
2017年威斯敏斯特网络攻击(英语:2017 Westminster cyberattack)
Petya勒索病毒
2017年乌克兰受网络攻击事件(英语:2017 cyberattacks on Ukraine)
Equifax数据泄露
德勤
熔毀/幽灵漏洞
美国中央情报局被指对中国大陆网络渗透攻击
Zoom轟炸
Twitter比特币骗局
2020年美国联邦政府数据泄露事件
殖民管道網絡攻擊
Log4j2漏洞事件
2022年俄罗斯对乌克兰的网络攻击
上海公安數據庫泄露事件
2022年西北工业大学遭网络攻击事件
2023年美国五角大楼文件泄露事件
政府机构
美国网络司令部
特定入侵行动办公室
中国人民解放军战略支援部队网络系统部
朝鲜网络部队(日语:北朝鮮サイバー軍)(朝鮮人民軍第121局)
叙利亚电子军(英语:Syrian Electronic Army)
日本网络防卫队(日语:自衛隊サイバー防衛隊)
国际打击网络威胁多边伙伴(英语:International Multilateral Partnership Against Cyber Threats)
美国互联网犯罪投诉中心(英语:Internet Crime Complaint Center)
欧洲网络犯罪中心(英语:European Cybercrime Centre)
中華民國數位發展部
中華民國國防部資通電軍指揮部
烏克蘭資訊科技軍
新加坡共和國數碼部隊
黑客组织
匿名者
乌克兰战争期间的行动(英语:Anonymous and the 2022 Russian invasion of Ukraine)
网络金雕(英语:CyberBerkut)
Derp(英语:Derp (hacker group))
Goatse安全(英语:Goatse Security)
Hacking Team
蜥蜴小队(英语:Lizard Squad)
LulzRaft(英语:LulzRaft)
LulzSec
NullCrew(英语:NullCrew)
RedHack(英语:RedHack)
TeaMp0isoN(英语:TeaMp0isoN)
地下纳粹(英语:UGNazi)
混沌计算机俱乐部
死牛崇拜
红客
韩国网络外交使节团
L0pht重工
方程式
隱形人安全集團
DarkSide
APT 27
网络游击队
个人
陳盈豪
约翰·德雷珀(英语:John Draper)
凯文·米特尼克
下村努
罗伯特·泰潘·莫里斯
凱文·波尔森
阿德里安·拉莫
Donncha O'Cearbhaill(英语:Donncha O'Cearbhaill)
杰里米·哈蒙德(英语:Jeremy Hammond)
乔治·霍兹
古驰法(英语:Guccifer)
阿尔伯特·冈萨雷斯(英语:Albert Gonzalez)
赫克特·蒙赛格 (萨布)(英语:Hector Monsegur)
杰克·戴维斯 (绿色雕塑)(英语:Topiary (hacktivist))
小丑 (The Jester)(英语:The Jester)
weev(英语:weev)
加里·麦金农(英语:Gary McKinnon)
恶意软件
Careto (面具)(英语:Careto (malware))
CryptoLocker
Dexter(英语:Dexter (malware))
毒区(英语:Duqu)
FinFisher(英语:FinFisher)
火焰
Gameover ZeuS(英语:Gameover ZeuS)
Mahdi(英语:Mahdi (malware))
Metulji僵尸网络(英语:Metulji botnet)
NSA ANT产品目录(英语:NSA ANT catalog)
R2D2(英语:R2D2 (trojan))
Shamoon(英语:Shamoon)
Stars(英语:Stars virus)
震网
黑暗幽灵 (DCM)
震荡波蠕虫
手机恶意软件(英语:Mobile malware)
TeslaCrypt
VPNFilter
WannaCry
Petya
瑞晶
peacenotwar(英语:peacenotwar)
概念·思想
《黑客宣言》
网络战
網路恐怖主義
黑客行动主义(英语:Hacktivism)
駭客
电脑犯罪
软件破解(逆向工程)
手段·技术
安全漏洞
漏洞利用
高级长期威胁(APT)
零日攻击
DNS污染
缓冲区溢出
堆风水(英语:Heap feng shui)
堆噴射(英语:Heap spraying)
穷举攻击/蛮力攻击
跨站脚本攻击(XSS)
水坑攻击
偷渡式下载
SQL注入
中间人攻击
中途相遇攻擊
谷歌駭侵法
取自“https://zh.wikipedia.org/w/index.php?title=WannaCry&oldid=81891062”
分类:2017年罪案2017年5月网络攻击蠕虫病毒勒索軟體2017年计算机科学网络犯罪隐藏分类:CS1英国英语来源 (en-gb)CS1英语来源 (en)CS1美国英语来源 (en-us)自2017年11月带有失效链接的条目条目有永久失效的外部链接CS1葡萄牙语来源 (pt)CS1西班牙语来源 (es)CS1德语来源 (de)CS1意大利语来源 (it)CS1匈牙利语来源 (hu)CS1泰语来源 (th)含有日語的條目CS1含有日语文本 (ja)CS1日语来源 (ja)自2018年5月带有失效链接的条目使用过时图像语法的页面需要查證來源的維基百科條目自2017年5月需要查證來源的維基百科條目含有英語的條目维基共享资源分类链接由维基数据提供
本页面最后修订于2024年3月14日 (星期四) 07:01。
本站的全部文字在知识共享 署名-相同方式共享 4.0协议之条款下提供,附加条款亦可能应用。(请参阅使用条款)
Wikipedia®和维基百科标志是维基媒体基金会的注册商标;维基™是维基媒体基金会的商标。
维基媒体基金会是按美国国內稅收法501(c)(3)登记的非营利慈善机构。
隐私政策
关于维基百科
免责声明
行为准则
开发者
统计
Cookie声明
手机版视图
开关有限宽度模式
WannaCry(永恒之蓝)勒索病毒 - 知乎
WannaCry(永恒之蓝)勒索病毒 - 知乎切换模式写文章登录/注册WannaCry(永恒之蓝)勒索病毒聚云社官网www.juyuninfo.com巴菲特在股东大会上说过这样一句话:“我对大规模杀伤武器是很悲观的,但我认为发生核战争的可能性要低于生化武器与网络攻击。”谁也没有料到,巴菲特的这句话言犹在耳,一种名为“WannaCry”的网络病毒就在一夜之间席卷全球,酿成了不小的灾祸。“勒索病毒”席卷全球3年前一种名为WannaCry(永恒之蓝)的电脑勒索病毒正在全球蔓延,99个国家受到病毒感染。最严重的地区集中在美国、欧洲、澳洲等地区,在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。目前,病毒已经扩散至全球上百个国家。在这样规模的攻击下,中国也未能幸免,12日当晚,中国多所大学也已经遭受到了这种病毒的袭击,大量学生中招,许多人通过微博分享了自己学校机房等大面积中毒的照片。此次校园网勒索病毒是由NSA(美国国家安全局)泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序,和之前的病毒还需要用户下载和运行有很大不同。“你有张良计,我有过墙梯”面对WannaCry网络病毒在国内的攻击愈演愈烈,一场反击战也迅速打响。5 月 13 日下午,微软决定对已经停止支持的 Windows XP 和 Windows 2003 发布特别补丁,以修复勒索病毒“永恒之蓝”所利用的漏洞。根据微软官方的描述,这一次恶意软件所利用的漏洞其实早在今年 3 月就被修复了,然而因为 XP、Windows Server 2003 等系统早已停止技术支持,所以未获得补丁更新。但是由于本次影响实在过于严重,经过评估决定特例提供补丁。国家互联网应急中心随后发布勒索软件情况通报,详细说明了病毒软件的情况和应急处置措施,并附上了防病毒补丁地址。IDC之势,安全之路对于企业来说,越来越需要把安全,尤其是数据安全,纳入业务发展的基础环节。选择一家可靠的数据中心,是未来企业保证数据安全、业务安全的基础。 企业可以从这几个维度去衡量数据中心:包括(但不限于)互联网接入能力(带宽保障、三网动态BGP等)、硬件基础设施保障(电力、空调、消防等)、故障率(单点故障、每年场地引起的IT停机)、提供商的实力等等。 企业应当让自身的安全策略更契合,与以往的“头疼医头、脚疼医脚”不同,数据中心安全防护更需要全面的部署。作为中国高标准生态数据中心与云基础服务引领者,大碗数据http://www.bowlplus.com致力于帮助完善安全服务功能,共筑健康、规范、长远发展的企业安全之路,为互联网、金融业、制造业等企业的IT设施提供稳定、安全的高负荷运行环境。发布于 2020-06-23 17:11网络安全服务器互联网数据中心(IDC)赞同 33 条评论分享喜欢收藏申请
勒索软件WannaCry:所有你需要知道的
WannaCry:所有你需要知道的跳到主体内容解决方案适用于:家用产品1-50 名员工的小型企业51-999 名员工的中型企业1000 名员工以上的大型企业解决方案适用于:家用产品1-50 名员工的小型企业51-999 名员工的中型企业1000 名员工以上的大型企业卡巴斯基徽标我的卡巴斯基产品产品卡巴斯基全方位安全软件为您和您的孩子提供终极安全和反病毒套件 - 在 PC、Mac 和移动设备上了解详情30 天免费试用卡巴斯基安全软件为您的隐私和资金提供高级安全和反病毒套件 - 在 PC、Mac 和移动设备上了解详情30 天免费试用卡巴斯基反病毒软件适用于 Windows 的核心反病毒软件 - 拦截病毒和加密货币挖掘恶意软件了解详情30 天免费试用卡巴斯基安全软件- Mac 版针对身份窃贼和欺诈者的高级安全保护了解详情30 天免费试用卡巴斯基免费版为您的 PC 提供免费、基本的反病毒保护了解详情免费试用免费工具卡巴斯基二维码扫描器查看更多续订下载支持资源中心BlogHomeHome SecurityResource CenterThreats什么是WannaCry勒索软件?你的电脑容易受到WannaCry勒索软件的攻击吗?继续读下去,了解我们如何探索WannaCry勒索软件攻击的所有信息。在本文中,您将了解到:
什么是WannaCry
WannaCry勒索软件攻击如何工作
WannaCry勒索软件攻击的影响
如何保护您的计算机免受勒索软件的侵害
WannaCry勒索软件解释
WannaCry是加密勒索软件的一个例子,这是一种恶意软件,被网络罪犯用来勒索金钱。
勒索软件通过加密有价值的文件来做到这一点,这样你就无法读取它们,或者通过把你锁在电脑外面,这样你就无法使用它。
使用加密的勒索软件称为加密勒索软件。把你锁在电脑外面的类型叫做上锁勒索软件。
和其他类型的加密勒索软件一样,WannaCry将你的数据作为人质,承诺如果你支付了赎金,就归还它。
WannaCry以使用Microsoft Windows作为操作系统的计算机作为目标。它对数据进行加密,并要求以加密货币比特币支付赎金,以便返还。
什么是WannaCry勒索软件攻击?
WannaCry勒索软件攻击是发生在2017年5月的全球流行恶意攻击。
这种勒索软件攻击通过运行Microsoft Windows的计算机传播。用户的文件被扣为人质,要求比特币赎金才予以归还。
如果不是因为继续使用过期的计算机系统和缺乏更新软件的教育,这次攻击所造成的损害是可以避免的。
WannaCry攻击如何工作?
负责这次攻击的网络犯罪分子利用了微软Windows操作系统的一个弱点,使用了据称由美国国家安全局开发的黑客。
这一黑客被称为EternalBlue,是在WannaCry攻击之前,一群被称为Shadow Brokers的黑客公开的。
微软发布了一个安全补丁,在WannaCry勒索软件攻击开始前两个月,它保护用户的系统免受这种攻击。不幸的是,许多个人和组织没有定期更新他们的操作系统,因此受到攻击。
那些在攻击之前没有运行过Microsoft Windows更新的用户并没有从补丁中获益,而EternalBlue所利用的漏洞使他们容易受到攻击。
当它第一次发生时,人们认为WannaCry勒索软件攻击最初是通过网络钓鱼活动传播的(网络钓鱼活动是指带有受感染链接或附件的垃圾邮件引诱用户下载恶意软件)。然而,EternalBlue是允许wannaCry传播的漏洞,DoublePulsar是安装在受损计算机(用于执行wannaCry)上的“后门”。
如果没有付WannaCry赎金怎么办?
袭击者要求价值300美元的比特币,然后将赎金要求增加到600美元。如果受害者在三天内没有支付赎金,受WannaCry勒索软件攻击的受害者被告知他们的文件将被永久删除。
关于赎金支付的建议是不要屈服于压力。始终避免支付赎金,因为无法保证您的数据将被返回,并且每次支付都会验证罪犯的业务模式,从而使未来的攻击更为可能。
这一建议在WannaCry攻击期间被证明是明智的,因为据报道,攻击中使用的编码是错误的。当受害者支付赎金时,攻击者无法将该支付与特定受害者的计算机联系起来。
有人怀疑是否有人把他们的文件拿回来。一些研究人员声称没有人能取回他们的数据。然而,一家名为F-Secure的公司声称有一些公司做到了。这是一个明显的提醒,即是如果你遭遇勒索软件攻击,支付赎金从来不是一个好主意。
WannaCry攻击有什么影响?
WannaCry勒索软件攻击全球约23万台电脑。
最先受到影响的公司之一是西班牙移动公司Telefónica。到5月12日,英国数千家NHS医院和诊所受到影响。
三分之一的NHS医院信托基金受到袭击的影响。据报道,救护车被可怕地改变了路线,使人们无法得到紧急护理。据估计,由于这次袭击,19000个预约被取消,使NHS损失了9200万英镑。
随着勒索软件在欧洲蔓延,150个国家的计算机系统瘫痪。WannaCry勒索软件的攻击在全球范围内产生了巨大的经济影响。据估计,这起网络犯罪在全球造成了40亿美元的损失。
勒索软件保护
现在您了解了WannaCry勒索软件攻击是如何发生的以及它所带来的影响,让我们考虑一下如何保护自己免受勒索软件的攻击。
以下是我们的主要提示:
定期更新您的软件和操作系统
计算机用户成为WannaCry攻击的受害者,因为他们没有更新他们的Microsoft Windows操作系统。
如果他们定期更新操作系统,他们将从微软于攻击前发布的安全补丁中获益。
这个补丁消除了EternalBlue利用的漏洞,使计算机无法感染Wannacry勒索软件。
一定要保持软件和操作系统的更新。这是一个重要的勒索软件保护步骤。
不要点击可疑链接
如果你打开一封不熟悉的电子邮件或访问一个网站,不要信任,不要点击任何链接。点击未经验证的链接可能触发勒索软件下载。
从不打开不受信任的电子邮件附件
避免打开任何电子邮件附件,除非您确定它们是安全的。你知道并信任寄件人吗?是否清楚附件是什么?您是否希望收到附件?
如果附件要求您启用宏来查看它,请保持清醒。不要启用宏或打开附件,因为这是勒索软件和其他类型恶意软件传播的常见方式。
不要从不受信任的网站下载
从未知站点下载文件会增加下载勒索软件的风险。仅从您信任的网站下载文件。
避免未知的USB
如果您不知道USB或其他移动存储设备的来源,请不要将它们插入您的计算机。它们可能被勒索软件感染。
使用公共Wi-Fi时使用VPN
使用公共Wi-Fi时要小心,因为这会使您的计算机系统更容易受到攻击。
在使用公共Wi-Fi时,请使用安全的VPN保护自己免受恶意软件的侵害。
安装互联网安全软件
更新您的互联网安全软件
为了确保您获得最大程度的保护,您的互联网安全必须提供更新维护(包括所有最新补丁)。
备份您的数据
确保使用外部硬盘或云存储定期备份数据。如果你成为勒索软件黑客的受害者,如果你的数据被备份过,那将是安全的。备份数据后,请记住断开外部存储设备与计算机的连接。保持您的外部存储经常连接到您的PC可能会暴露给勒索软件家族,他们也可以加密这些设备上的数据。
想在最大程度的勒索软件保护下轻松入睡吗?下载卡巴斯基全方位安全软件。
相关文章:
Data Theft and Data Loss
The Biggest Ransomware Threats
WannaCry: Not Dead Yet
什么是WannaCry勒索软件?Kaspersky那个WannaCry黑客怎么了?我们将讨论WannaCry勒索软件的攻击以及如何保护您的计算机。精选文章我是网络钓鱼受害者!现在该怎么办?数字钱包有多安全?如何保护电子钱包黑色星期五在线威胁: 如何安全在线购物 什么是暗网扫描?规模最大的加密货币交易所黑客行动:如何确保您的加密货币免受黑客入侵为您提供保护的产品我们的创新型产品将帮助您保护最重要的事项。了解有关我们屡获殊荣的安全解决方案的更多信息。免费工具我们的免费安全工具以及其他工具可以帮助您检查以确保 PC、Mac 或移动设备上所有数据的安全。联系我们的团队保证您的设备安全是我们的使命 - 如果您需要联系我们、获取常见问题的答案或者访问我们的技术支持团队。
关于我们了解我们的品牌、我们的工作方式以及我们为何致力于为每个人营造更加安全的在线和移动世界。获取免费试用版购买前试用。只需单击几次鼠标,即可获取我们任一款产品的免费试用版 - 以便您可试用我们的技术。
联系我们
家用产品
卡巴斯基 反病毒软件
卡巴斯基 安全软件
卡巴斯基 全方位安全软件
所有产品
免费反病毒软件
1-50 名员工的小型企业
卡巴斯基 中小企业安全解决方案
所有产品
51-999 名员工的中型企业
标准版 网络安全解决方案
高级版 网络安全解决方案
所有产品
1000 名员工以上的大型企业
网络安全服务
卡巴斯基威胁管理和防御
卡巴斯基网络安全
Hybrid Cloud Security
Cybersecurity Training
Threat Intelligence
所有解决方案
© 2024 AO Kaspersky Lab 自适应安全技术基于专利 CN201821502 “信息设备的自适应安全性”及其在美国、俄罗斯和欧盟地区的同类专利。 隐私策略 • Cookies • 反腐败政策 • 许可协议 B2C • 许可协议 B2B • 京ICP备12053225号 京公网安备 11010102001169 号联系我们关于我们合作伙伴资源中心新闻稿网站导航选择您的国家中国 (China)
美洲
América Latina
Brasil
United States
Canada
非洲
Afrique Francophone
Algérie
Maroc
South Africa
Tunisie
中东
Middle East
الشرق الأوسط
西欧
Belgique & Luxembourg
Danmark
Deutschland & Schweiz
España
France
Italia & Svizzera
Nederland & België
Norge
Österreich
Portugal
Sverige
Suomi
United Kingdom
东欧
Česká republika
Magyarország
Polska
România
Srbija
Türkiye
Ελλάδα (Greece)
България (Bulgaria)
Россия и Белару́сь (Russia & Belarus)
Україна (Ukraine)
亚太地区
Australia
India
New Zealand
Việt Nam
ไทย (Thailand)
한국 (Korea)
中国 (China)
中国香港 (Hong Kong)
中国台灣 (Taiwan)
日本語 (Japan)
其他地区
全球网站
什么是 WannaCry 勒索软件攻击? | Cloudflare
什么是 WannaCry 勒索软件攻击? | Cloudflare解决方案 按主题按需要分行业公众利益联系销售产品我们的产品适用于您的员工适用于应用和基础设施开发人员专用消费者服务需要协助选择吗?查看最新内容联系销售定价我们的计划与价格企业版比较所有计划需要协助选择吗?查看常见问题解答联系销售资源文档入门应用程序安全应用程序服务零信任服务开发人员平台网络服务见解APIAI资源中心学习趋势与见解博客Cloudflare TV社区论坛获得帮助联系销售合作伙伴合作伙伴网络技术合作伙伴对等互联门户Cloudflare 代理计划合作伙伴网络为何选择 Cloudflare选择 Cloudflare 的理由了解 Cloudflare比较信任 Cloudflare 的理由资源中心博客企业级服务探索案例研究联系销售注册注册遭到攻击?遭到攻击?登录登录支持社区支持帮助中心联系 Cloudflare无法访问帐户?登录登录skip to content销售: 010 5387 6315010 5387 6315支持登录解决方案产品定价资源合作伙伴为何选择 Cloudflare支持注册注册遭到攻击?登录登录解决方案产品定价资源合作伙伴为何选择 Cloudflare支持注册什么是 WannaCry 勒索软件攻击?WannaCry 勒索软件攻击发生在 2017 年 5 月 12 日,影响了 20 多万台计算机。WannaCry 利用一个未打补丁的漏洞在世界各地的网络中进行蠕虫式传播。学习中心Web 应用程序安全API安全解决方案 | Cloudflare 中国官网常见威胁更多攻击勒索软件词汇theNET学习目标阅读本文后,您将能够:说明 WannaCry 勒索软件如何在一天内传播到 20 多万台电脑上描述一个安全研究人员如何阻止 WannaCry探索 2017 年 5 月 WannaCry 攻击的主要教训和启示相关内容勒索软件Maze 勒索软件Ryuk 勒索软件数据泄露零日漏洞利用想要继续学习吗?订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!订阅 theNET参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。复制文章链接 什么是 WannaCry 勒索软件攻击?
WannaCry 勒索软件*攻击是一个影响全球组织的重大安全事件。2017 年 5 月 12 日,WannaCry 勒索软件蠕虫传播到 150 多个国家/地区的 20 多万台计算机。知名的受害者包括 FedEx、Honda、Nissan 和英国国家卫生服务系统 (NHS),后者被迫将其部分救护车转移到备用医院。
在攻击发生后的几个小时内,WannaCry 被暂时解除了。一位安全研究人员发现了一个“自毁开关”,基本上关闭了恶意软件。然而,许多受影响的计算机仍然被加密且无法使用,直到受害者支付赎金或能够逆转加密。
WannaCry 通过使用名为“EternalBlue”的漏洞利用进行传播。美国国家安全局 (NSA) 开发了这个漏洞,大概是为了他们自己使用,但在 NSA 本身遭到入侵后,它被一个名为 Shadow Brokers 的组织窃取并发布给公众。EternalBlue 仅适用于较旧的、未打补丁的 Microsoft Windows 版本,但运行此类版本的机器数量足以让 WannaCry 迅速传播开来。
*勒索软件是一种恶意软件,它通过加密锁住文件和数据,并索取赎金。
什么是蠕虫?
在安全领域,蠕虫病毒是一种恶意软件程序,它会自动传播到网络中的多台计算机。蠕虫病毒利用操作系统漏洞,从一台计算机跳到另一台计算机,在每台计算机上安装自己的副本。
蠕虫就像一个小偷,他在一个办公园区里走来走去,寻找未上锁的门。一旦小偷找到了一个,他可以创造一个自己的复制品,留在未上锁的办公室内,两个版本继续寻找未上锁的门。
大多数蠕虫不包含勒索软件。勒索软件通常通过恶意电子邮件、凭据泄露、僵尸网络或高度针对性的漏洞利用(例如 Ryuk)来传播。WannaCry 的独特之处在于,它不仅将勒索软件与蠕虫病毒结合在一起,而且还使用了一个由美国国家安全局创建的特别强大的蠕虫病毒漏洞。
Shadow Brokers 是谁?
Shadow Brokers 是一群攻击者,他们于 2016 年开始向公众泄露恶意软件工具和零日漏洞利用程序。他们被怀疑获得了 NSA 开发的多个漏洞利用程序,可能是由于机构的内部攻击。2017 年 4 月 14 日,Shadow Brokers 泄露了 WannaCry 最终使用的 EternalBlue 漏洞利用。
Microsoft 于 3 月 14 日发布了 EternalBlue 补丁,比 Shadow Brokers 泄露它的时间早了一个月,但在 WannaCry 攻击发生时许多计算机仍未打补丁。
谁对 WannaCry 勒索软件攻击负责?
2017 年底,美国和英国宣布朝鲜政府是 WannaCry 的幕后黑手。然而,一些安全研究人员对这一归属提出异议。一些人认为,WannaCry 可能是总部设在朝鲜的 Lazarus Group 的手法,而不是直接来自朝鲜政府。其他人认为,恶意软件中的作者线索可能是为了将责任归咎于朝鲜的攻击者,WannaCry 可能完全来自另一个地区。
WannaCry 攻击是如何被阻止的?
在攻击发生的当天,一位名叫 Marcus Hutchins 的安全博主和研究员开始对 WannaCry 的源代码进行逆向工程。他发现 WannaCry 包含一个不寻常的函数:在执行之前,它将查询域 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。这个网站并不存在。
因此,他注册了这个域。(它花费了 10.69 美元。)
在 Hutchins 这样做之后,WannaCry 的副本继续传播,但他们停止了执行。从本质上讲,一旦 WannaCry 开始收到来自 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的响应,它就会自行关闭。
为什么这能阻止攻击?
虽然不能确定 WannaCry 作者的动机,但据推测,WannaCry 中包含了这种域名查询功能的目的是让赎金软件能够检查它是否在沙盒内。
沙盒是一种反恶意软件工具。它是一个虚拟机,与所有其他系统和网络分开运行。它提供了一个安全的环境来执行不受信任的文件,看看它们是做什么的。
沙盒实际上没有连接到互联网。但沙盒的目的是尽可能地模仿真实的计算机,因此它们可能会对恶意软件针对特定域的查询产生一个虚假的响应。因此,恶意软件检查其是否在沙盒内的一种方法是向一个假的域名发送查询。如果它得到一个“真实的”响应(由沙盒生成),它可以认为自己是在沙盒中,并关闭自己,这样沙盒就不会检测到它是恶意的。
然而,如果恶意软件将其测试查询发送到一个硬编码的域名,那么如果有人注册了这个域名,它就会被欺骗,以为自己始终在沙盒中。这可能是 WannaCry 发生的情况:世界各地的 WannaCry 副本被欺骗,认为它们在沙盒内,并关闭自己。(从恶意软件作者的角度来看,一个更好的设计是查询一个每次都不同的随机域名,这样一来,从沙盒外的域名得到回应的几率就接近零了)。
另一个可能的解释是,传播到世界各地的 WannaCry 的副本是未完成的。WannaCry 的作者可能将该域名硬编码为占位符,打算在发布蠕虫病毒之前用他们的命令和控制 (C&C) 服务器的地址替换它。或者他们可能打算自己注册 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。(DNS 过滤 或 URL 过滤也许可以阻止对该域名的查询,但大多数组织不可能及时部署这一安全措施。)
不管是什么原因,这样一个简单的行动能够拯救世界各地的计算机和网络,使其免受进一步感染,这是一种运气。
Marcus Hutchins 身上发生了什么?
事实证明,在 Hutchins 开始以安全研究员的身份工作和写博客之前,他已经花了数年时间经常光顾暗网上的恶意软件论坛,构建和销售自己的恶意软件。WannaCry 事件发生几个月后,FBI 在内华达州拉斯维加斯逮捕了 Hutchins,原因是他编写了一种银行恶意软件 Kronos。
如今,WannaCry 还是一种威胁吗?
由于 Hutchins 的“自毁开关”域,2017 年发布的 WannaCry 版本不再起作用。此外,还为 WannaCry 自 2017 年 3 月以来利用的 EternalBlue 漏洞提供了补丁。
然而,WannaCry 攻击仍在发生。截至 2021 年 3 月,WannaCry 仍然使用 EternalBlue 漏洞,这意味着只有极老的、过时的 Windows 系统才有风险。较新版本的 WannaCry 已经删除了原始版本中存在的自毁开关功能。强烈建议立即更新操作系统和安装安全更新。
虽然 WannaCry 的原始版本已不再活跃,但可以从 2017 年 5 月的攻击中吸取几个关键教训:
世界各地的网络高度互联。在互联网时代,这可能是不言而喻的,但许多组织仍然认为他们的网络不能从外部渗透(就像一个有护城河的城堡)。WannaCry 表明,除非一个网络是空中隔离的(即它完全隔绝所有外部连接),否则外部威胁仍有可能进入。
即使是打过补丁的漏洞也可能是危险的。一个漏洞补丁的有效性仅限于应用它的系统数量。在 WannaCry 攻击之前,EternalBlue 补丁已经提供了近两个月,但似乎很少有组织安装了该补丁。(甚至到了 2021 年,有些企业还没有安装)。
许多重要的组织容易遭受网络攻击。这种情况仍然存在;近年来,勒索软件攻击已经影响到医院、学校、燃料管道和政府。事实上,像 Ryuk 这样的勒索软件组织似乎专门针对这些组织。在某些情况下,组织可能没有应对攻击所需的资金、资源或对技术更新的投入。特别是英国国家医疗服务系统 (NHS) 在攻击发生后继续使用 Windows XP,这是一个高度脆弱的操作系统,Microsoft 已不再提供支持,因此特别容易遭受攻击。
勒索软件是一个主要威胁。Cloudflare One 是一个零信任零信任平台,可以帮助组织应对这种威胁。零信任安全方法假定所有用户和设备都存在威胁。它定期对用户进行重新验证并评估设备安全,确保对任何不安全或未经授权的设备立即撤销其应用程序和网络访问权限。这有助于防止勒索软件的传播。
了解其他种类的勒索软件:
Ryuk 勒索软件
Maze 勒索软件
Petya 勒索软件和 NotPetya
入门Free 计划企业级服务比较各项计划获得推荐请求演示联系销售关于 Web 应用程序安全网络安全 Web 应用程序安全OWASP Top 10OWASP API 安全排行榜 10 强什么是数据泄露?使用 HTTPS 的原因是什么?常见威胁暴力攻击缓冲区溢出攻击跨站点脚本跨站点请求伪造在途攻击钓鱼攻击勒索软件勒索软件即服务 (RaaS)社会工程学攻击SQL 注入供应链攻击零日漏洞利用VPN 资源VPN选择最佳 VPN安全术语什么是 API?API 是如何工作的?API 调用API 端点云 APIAPI安全解决方案 | Cloudflare 中国官网攻击手段边界网关协议 (BGP)BGP 劫持静态数据纵深防御端点端点安全HTTPS 检查妥协的指标 (IoC)物联网安全横向移动恶意有效负载熔毁/幽灵 (Meltdown/Spectre)NGFW渗透测试Maze 勒索软件Petya 和 NotPetyaRyuk 勒索软件WannaCry 勒索软件密钥管理安全运营中心(SOC)影子 APISTIX/TAXII假报警威胁搜寻威胁情报威胁情报数据源威胁建模如何保护网站安全如何防止勒索软件攻击如何防止 SQL 注入如何提高 WordPress 安全性什么是信息安全?什么是网络钓鱼?What is SIEM学习中心导航学习中心主页DDoS 学习中心DNS 学习中心CDN 学习中心性能学习中心无服务器学习中心SSL 学习中心机器人学习中心云学习中心访问管理学习中心网络层学习中心隐私学习中心视频流式传输学习中心电子邮件安全性学习中心AI 学习中心© 2024 Cloudflare 公司科赋锐 (北京) 信息科技有限公司京ICP备2020045912号隐私政策使用条款报告安全问题信任与安全Cookie 首选项商标
【干货合集】WannaCry 勒索病毒解读与防护 - 知乎
【干货合集】WannaCry 勒索病毒解读与防护 - 知乎切换模式写文章登录/注册【干货合集】WannaCry 勒索病毒解读与防护腾讯云开发者人工智能话题下的优秀答主作者:腾讯云技术社区近日,勒索软件 WannaCry 感染事件爆发,全球范围99个国家遭到大规模网络攻击,被攻击者电脑的文件被加密,被要求支付比特币以解密文件。腾讯云技术社区「腾云阁」第一时间为广大网友分享了多篇解读和处置稿件,为方便大家阅读汇总在本文中,后续将持续更新,加入最新内容。WannaCry 勒索病毒用户处置指南勒索软件 WannaCry 感染事件影响范围极广,腾讯安全云鼎实验室发布本处理指南意在指导云上用户在遭受攻击前后进行相关处理,个人用户也可参考部分章节。WannaCry 勒索病毒数据恢复指引如果你不幸中招,可使用数据恢复软件通过恢复被删除的加密前的文件,能恢复部分文件,一定程度上挽回用户损失。应用户咨询和要求,本文以免费工具"易我数据恢复"工具为例提供加密数据恢复指南和步骤演示。腾讯安全反病毒实验室解读“Wannacry”勒索软件本文由腾讯安全反病毒实验室分享,对 WannaCry 勒索软件进行了解读。该软件利用了 Windows 操作系统下名为 MS17-010 的漏洞。攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收 445 端口的数据。比特币勒索病毒肆虐,腾讯云安全专家给你支招5 月 13 日凌晨腾讯云安全团队为云上用户紧急排查,连夜进行了分析,并提出了修复建议。同时腾讯云安全专家还通过直播分享,与网友互动支招。本文中包含直播的回看视频,欢迎观看。WannaCry 蠕虫详细分析WannaCry 蠕虫具体是如何工作的?它会对哪些文件进行加密?本文作者进行了详细的介绍。针对于腾讯云服务器,腾讯云安全团队提供了专业的网站后门木马检测等安全功能,集合专业的机器学习模型,定期检测网站,及早发现木马并通知到您,为您的云服务器安全保驾护航。相关阅读【干货合辑】你有什么独家数据库优化技巧?腾讯工程师们怎么玩 Vue.js?此文已由作者授权腾讯云技术社区发布,转载请注明文章出处获取更多腾讯海量技术实践干货,欢迎大家前往腾讯云技术社区编辑于 2017-05-15 17:26Wana Decrypt0r 2.0(计算机病毒)勒索病毒网络安全赞同 41 条评论分享喜欢收藏申请-1.7
%����
1 0 obj
<>/Metadata 768 0 R/ViewerPreferences 769 0 R>>
endobj
2 0 obj
<>
endobj
3 0 obj
<>/ExtGState<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI] >>/MediaBox[ 0 0 595.32 841.92] /Contents 4 0 R/Group<>/Tabs/S/StructParents 0>>
endobj
4 0 obj
<>
stream
x��\[�I~?p�C�8�#��`}q�L`�dه0�2�� {���RU;��T��:�.��_�$}��t���v�����s�S7�S���'�A�yﰃ��+��>P��?����c���i����~���v�}���I�;T�;�9���ݧ�}?}D�����}Ioq}�����#����Z���d�� ֣\�I�Fv��O{~:����ԝ?L]w5l7���p=����XY�����|�������/��ϯ/���1l����� Ȟ<�(��VF<�5'K2� ��G&�|_���P����;B�u��BU9l�ն �н�/#�NF��w���_222�@Fڜeu �mL�T�3��ԥhw��r�b�� ��>�[�<�;��W��N�4����������VU��$��:��-�F|a/�y걀��&0|�^2H��* 9�����w!����T�0Q�n�`��B$�C(�d��C�w����A�5��b�� �:X�C���A�Ѓ�c�.�
Vm�a��`��SS�-���ZPKV`zSP��&2�Nd8l(��,� "�;����ޙ���l����D��qBu1��O �Ek�{�>����EsLEv�Ȩ&2j(2�w�?����>]ZϬ����|�H��:����D�PR�)V�^z��Ww8�����=�� 3ٛL�S �g��ޮ�L����V^AO���ke<���5Zc��fF��M�j��H�eJ XW����Г)���[R��^/��K��!f��-��E�,=lI����$']�l���t�y�����^�y�K������Ƥ��e��>���K?��g^C�� ��&��;cT�� �2��R�g��^��
�n���K`X��)M�^%04y��9i��
!��Ԁ��[� �V�gȑd�����nX]�<~�lB��/j��J$�]�.K�hS�������&��4���( �k�a��(ZK8^���}T�>��e�N� �pY��<+�-)�0��_Аl��] �h|�nH�dCo�Hg��D�!QJ�ɩ"���"�� !�ɾ�z��h�xB�&:<�l&8.�/���M�!�^��r���;1�J(��Ѽ��[�u6瑵���V7k�D�B��`EY^�����U�OX���2���{�8��E��1�Q����4�;�C��5nQ���0��7�5MV�� H9gW6��\̷�� yc�<� �x�k�ƽ݅_6�x�eB��a�����3 9F!s��.�hYz�e+1l%�dٖ��A�jL�"a�3j�h*����_�b�)���ږ��w�@�{QW�mo��(˦�r�� Z+����Wr'9�"18��w�:c��7r��Ü'�[���g�ɝ|�h7?�C�T|��셌�\ �fmP� �� 3E���#qF�!�5 �Gi'G}J� .9:c�ݢq-v����L�Us���6�Ͽ��!�hC��r�-���E��s3���|��=n�v7J�\���*�i�'*�����+��bLHJ��`c�2lɝm�:�a\T�e�z<��b�<i�udi�ʱ�h.�e���E�o_���!����Z�.yd�7����ؖ��IG[5CA-� �J��oX�ݸ� ���zâ�8��EF*�Z �>��l��n�u����kX&ӆ9���N�5dm�=0�ř�'XõC��W\���*ƫalI N�X�Ȝ�jIZ�� n��B)Y�<��$���v@Ƶ<���XE n�U\��o{TE@L�8���
����Oo����t$�2V��u,��7�^������!�ϊ5�����9~�j��3e1ժ��A���@Nɖ�[�0�� d*�0@���9H ʪq{��6e��� fS���g�KU{�o��OYGf�m=G�E��;#�z,b5�<�ֱ�ˤ�b�τi���r�99���Ǐ=�]gi�)#7�ƫF%�sr�/ �9_߿�{��љ�m(yQ~]M�.j� M�o�\/{�"��~+BKZ��p�n��ȆxH��-�PثhE��6ydWU+�Z�@h���qՠJk�Ր�)��0������O�U 5L5Ȼ;ҁ�ML�*���RR�+ Z��4��8���ZnS�x6�����ϰ�i!�uZ��PZ�+��nz w��-��.~���)���#��!q�q#� ō�̀�y��mHe�lvKk�8km�K��B
�$�C�^A�+7A��+!��M�F]�c �$T=���n�Eh��K�Q2��Ά,��F+�-8.���U��gВbI��4��<_)�^ى%| ]5=��Ʌo�� �\kͷ�����e\5�Fh�,����rz���3�f��)XOkˀSW�k����7�zH�s�yS�^3)�z,L���}�Gqf��j��[&cQ��8�t�6��yh��&�*�a%����eX�����9,�ɈBK�K��Q��������ؐ��!� QJ�.�J�ud�R;�^&{���Lɦ�$�[*������Ѡ� �]#o|�o�,��.¾>� 3[4��f���
�f��]LR�J9\![e5�-wy���Z)N�� ��v!~�%���&�P�������7�ECX�&S�DlϢ��A��}L��W��ˊ��5�Ÿ�&��̊>��f;͈�J-T����h��tY$�Mݥa@��IJ���:���}*}�"ɵu�m�X��{����>��_�1����^���p�
endstream
endobj
5 0 obj
<>
endobj
6 0 obj
[ 7 0 R]
endobj
7 0 obj
<>
endobj
8 0 obj
<>
endobj
9 0 obj
<>
endobj
10 0 obj
<>
endobj
11 0 obj
<>
endobj
12 0 obj
<>
endobj
13 0 obj
[ 14 0 R]
endobj
14 0 obj
<>
endobj
15 0 obj
<>
endobj
16 0 obj
<>
endobj
17 0 obj
<>
endobj
18 0 obj
<>
endobj
19 0 obj
<>
endobj
20 0 obj
<>
endobj
21 0 obj
<>
endobj
22 0 obj
[ 23 0 R]
endobj
23 0 obj
<>
endobj
24 0 obj
<>
endobj
25 0 obj
<>
endobj
26 0 obj
<>
endobj
27 0 obj
<>
endobj
28 0 obj
<>
endobj
29 0 obj
[ 30 0 R]
endobj
30 0 obj
<>
endobj
31 0 obj
<>
endobj
32 0 obj
<>
endobj
33 0 obj
<>
endobj
34 0 obj
<>
endobj
35 0 obj
<>/ExtGState<>/XObject<>/ProcSet[/PDF/Text/ImageB/ImageC/ImageI] >>/MediaBox[ 0 0 595.32 841.92] /Contents 36 0 R/Group<>/Tabs/S/StructParents 1>>
endobj
36 0 obj
<>
stream
x��Z�j�H}/�ȗ���3.ySP� ���N��y��4=�aƻ�����oDJeW��V��nhKJ)J'OFĉ�*����������q��i���{�q�鿔"g|���$��|������y�n������`��|�m�ѧ�mN&r���?��o�����g�����_n� p�r��-�]�q�4)S�Q.�9���z���`Ã>���%�����|�ݯ��_��^���ݘ��֘�YC�YS�O��Y��N3�>��y��+�ɲ
y ����y<���{x�D��v�po�>?\�������>&g=,�s���rd�%9x��Ӂz���]!���,�E���
_K�@62��8yd��1U���ЀDZ��%v��z�\l����C�� ��^�g�2�*�g �F=���� ���|bߐx�_��Pq�b��hqz7P��'V_���M3x�9Đ $t�25��a@O�ߐX� ۆz����7U�03!�¬_�Еy�
,W �g�y�g�r'�3�I���R� �^s
Q,�19nF�`�npy�.��C,1�{���~��/Cݼ��0P�b�[��m����S\Q�{��_S,)��]�V�s��4;_���1͐�]ɓ�]n��L4���7�!��.0��m��F<�t7w~:kB�lOg(>�E�����1��{w�"�P� g.q4K��v%�~��
��wM�b���L��V�UTީ
Xӥ���oTWMzC(Yz&��U�E�5�TU�xsFae<��,�.�����S����rQ�}F��[�4OϬ�%՛F����
�\�贠�c�-�,٪E-��ړ�]"�X��r)v"�y W�>���\h�Z;b�&NR-z�ք���1<$f����8q����'gu��V-ᔺ0�ٲ�i|k��9�|Jk(�1�����J��"T<�@G�F�-,�h��{�T�*5Q:hH�]�e������ɺ6O�[_���9��xͅHg�a9<�Y��xe������3c@��8�̔z¯EeM�#���uQI��fN�j��.
K����bh#�4,���aȋlMѸo�3�)Uo%V�J��͡�C$M���NR��4J�Z�J5��!c~e�����z���_�1�V�E♋�]�3�ŷB��K.��; J��z_��9~Vc�pv���7�lmG� �Qv���ɱ$���
��_�e x����c�$s�-(c�P0�a��h>��j?�yw�����i~R.�m��c�P���0�M�Ȫ1b�,��/���O���F��Ӹ���L[t�q��)�"4? 3a2�G�r1`�Nu�j��ѕ� I��&� O�&y���T�T�\���W�ɉ �?�@���C����b����/ �J�L@��Rr��@1�,fQ��S3���$x
c�$+��@1� ��Zayy�TY��0�x4p;�dG�mq���T��b��=igr���]=�)�];j�-�v6�����0~�$�v��C���-�I�2.�왓��I�����I�*��T�,浄�T�wpQלS���r_r��h���<���<4"՝8&�ӧ�su���H�-|�N(��J��B����%�H���ǒ��ɸ{�b����8>�t��x�$YUҠdv� �pn��X�����Vҙ�;"$wu���FE-3:B����A�Jk�Bk¢p�xpI��D�]�S=�0}������?18��/����X�,��!h�{�N(�5�}�C���jk֝�1�&�UP�������3S��?���B��(~�B���O3�*�UtN��|@R8�E����i[R�)m
����|���K�:o�bz�.#���i�Ic�AFP=!�_�����蔽�>@����x�O|}-$7�߄��BΫ($ɓAKzy,�H�����cu��tFk���$���x>
endobj
38 0 obj
<>
endobj
39 0 obj
<>
stream
x��yp�e���s��(3��qdqe_�N�b �HH�Y4,F@ d#! !{��Q@vedT�A�r��Խ�ܩ���?�,θ͌���Nh�t:�����_?O=E�VI��ԯ~���� >��.�~�(>,�WV�5 �/�z�>Ի�S��S}eC�w��!��z���'NR�T�j%��������/p���k��WmM�[�Y�Wɴ�+i��%gm>Wx����,823�H���V��.o�}�!x^��e� [���EC�g
�d����O��?t �'���}%{��3$����}G��;*2 4%`Bڣ�_��35��"�H�B2ꮯ�Ьy������S[l͒7d��
\i�ԺK���?���e^����9ã�Q-wu�'�IQ�t�OE� ����3$��Р��MU�wɓs+��W��mOI>�f�+c�ޡ�ۙg 5E��m]�t#�麜��L�J\��Ӈ����+��0%�����X�� Zѧ�G��}6�ड��C��<��Y�sL_��uWću��U���q�Z��tZM�+��ZY��#R?OYVg�m�і�AJ??4d��h FA
�>z?6��%Q���������ʻ���F��ew�ݤ��Z�pG#RWt�����Ǟ��2�n�GЍ��ե��3������^�����R?�b�CCF��K