让你WannaCry的不是蠕虫病毒，是你竟然还用着xp|界面新闻 · JMedia界面新闻APP
注1：本文作者佟dark为，文章最先发布在作者的知乎专栏，本格の科技领域，原文标题为《勒索软件肆虐，难道只能欲哭无泪（WannaCry）？》Technews科技新报已经获得作者授权并做了不改原意的排版。欢迎转发朋友圈，商业转载请联系作者获得授权。
注2：WannaCry病毒详细解决方法在微信公众号文章末尾，因为有较多链接，建议关注科技新报微信公众号，找到这篇文章并点击底部&阅读原文&查看。
上周起，全世界都被一款名叫WannaCry的勒索软件刷屏了，在短短不到18个小时的时间里，该病毒迅速席卷到我国，对Windows电脑产生了恶劣的破坏作用。
题图就是全球受WannaCry病毒影响的国家和地区（神奇的是，朝鲜地区，是没有蓝色病毒小点的）。
WannaCry 病毒肆虐，国内高校电脑&很受伤&
在我国，受WannaCry 病毒影响最大的群体，就是国内的各个高校。因为高校内有一大堆装着旧版Windows系统的电脑（XP、Win 7），除了微软早已不提供更新的XP（），不少安装Win 7的电脑，也因为没有打开系统更新，受到病毒的攻击。
WannaCry勒索病毒对用户电脑的破坏有哪些？
1.加密用户所有分区的文件，只有向黑客的指定账户，汇款比特币，才能解密文件。
2.目前该病毒只能通过打补丁的方式来防范，目前还没有有效的专杀工具来应对，易感染病毒的电脑。
为什么在国内受感染最多的是高校的电脑？
1.Windows版本滞后，没有打上最新的补丁
2.该病毒在内网里主要靠445端口传播，校园里拨号上网工具，主要靠445端口进行通讯，外加内网里的大量&肉鸡&，为病毒传播提供温床。
&永恒之蓝&，比特币背锅，而最大问题是我们不爱更新Windows系统
美国安全局（NSA）被成为此次事件的&始作俑者&，原因是这些勒索病毒，均是由其实验室泄露出来的&永恒之蓝&黑客武器的变种。
此次事件中，值得关注的几点，一个是比特币，另一个是脆弱的机构网络，还有一个是公众（尤其是我国）落后的信息安全保护意识。
1.比特币作为一种&去中心化&的货币，由于谁也不能知晓，比特币交易过程中，经手的路径和经手人身份，所以成为极受黑客们欢迎的货币。
按照比特币当前单币1800美元的价值，用户需要支付六分之一个比特币（价值300美元），才能从勒索者手中，获得解锁数据的机会，为了打压勒索者的嚣张气焰，我不赞成受害者用这种方式挽回数据。
我对比特币的存在，是持保留态度的，或许，这种以区块链技术驱动的货币，为每个比特币交易者，建立了绝对可信任的交易环境。
但比特币的数量是有极限的，越是到后期，挖矿（找比特币）需要消耗的计算量和电力就越大，在物质财富不断增加的社会，势必会造成严重的通货紧缩，引发经济问题。
其次，我们也了解了，比特币交易的匿名性，为一些犯罪机构 / 黑客洗钱，提供了极大的便利，要遏制这种情况的出现，就需要针对比特币进行监管，这也是个相当头疼的问题。
2.各个国家的安全机构，都会对本国的信息网络，进行监听活动，如果玩大了，就像美国的棱镜门那样，搞得全世界风风雨雨。包括这次事件，黑客直接利用了NSA泄露出的黑客武器，为我们展现了，美国政府，对于公民信息隐私漠视的另一面。
在国内，普通人对科技的毫不关心，使大部分人对信息安全的保护，也完全不上心，只有当&熊猫烧香&、&WannaCry&这样的病毒对自己信息造成了损害，才追悔莫及。
很多人觉得，XP、Win 7挺好用的啊，兼容性也不错，反正电脑也没坏，干嘛要重装系统？
早在3年前，就不受微软支持的 Windows XP，在中国依旧占了20.54%的市场份额，真是&老而弥坚&！
尤其是各种银行、政府机关、教育机构内网里的电脑，因为购买新硬件需要投入、旧软件不支持新系统、人员培训成本等原因，运行旧版Windows 系统的电脑还有很多，只要未来类似WannaCry的病毒，找到一个突破口，入侵这些机构的内网，那么就会&兵败如山倒&。
没有百分之百安全的防护系统，保持你的系统和软件持续更新到最新，就可以大大降低受到攻击的风险，况且，Win 10对旧电脑的优化，也很不错了，不用非得买新电脑。接受新工具、接纳新事物，既可以提高工作、生活的效率，也可以保障自己的信息安全。
3.微软真得好好优化一下，自家Windows Update的用户体验了，在 Win XP时代，用户在浏览器里更新系统，就会出现&svchost.exe& 进程CPU占用率过大，一直没有反应的情况。
解决这个问题的方法之一，是要先安装 & IE8 升级补丁 & ，可有多少普通用户知道这个办法呢？
Win Vista、Win 7、Win 8时代，Windows Update 的体验方面稍有改进，采用客户端更新的形式，但微软的服务器在国外，国内用户需要先装一枚更新Windows Update 网络代理的补丁，才能继续更新系统，但安装这个补丁，就需要费很长时间。
补丁一次性无法成功安装，简直是家常便饭，因为像是net.Framework这样的运行库，需要先安装库本身，才能继续安装功能安全性补丁；甚至还出现某些补丁，如果用户选择同时安装，就一定会失败，当选择安装某一个时，Windows Update会提示另一个不用再安装了。简直就是操作系统里的 &鬼灯夜话 &。
Win 10的补丁安装，确实比以前人性化多了，这个全局的 Windows Update中心，微软可以向用户提供包含 Windows、MS Office、本机驱动、Windows Defender等各种产品的更新，自动化程度也比以前高了很多，但网络连接慢的问题，一直没有得到改善。
于是，市场上催生出了一堆，专门给用户电脑打补丁的&管家、卫士&类的产品，他们其实像个& 二道贩子 &，补丁都是来自微软，但他们有部署本土的服务器，下载补丁的速度更快，给用户提供了一个便捷之选。
教程：解决WannaCry病毒的方法
一、为系统安装补丁：
如果你的电脑在装过系统后，就没有打过补丁，那么只有Windows 10（1703 创意者更新）才有& 金钟罩，铁布衫 &，不怕勒索软件的攻击。
怎么查看当前系统版本？
右击&Windows 徽标&，点击&命令提示符（A）&，查看系统版本：
如果系统版本号显示：
10.0.10240
10.0.10586
10.0.14393
那么请注意，你需要安装防护补丁。
Win 8、Win 7、Win Vista、XP：
不用查看系统版本了，你们一个都跑不掉。
1.通过Windows Updates打补丁：
打开Windows Update，对于不知道如何打开的同学，请参照这里（XP、Vista微软已不提供更新，下面有单独的补丁安装）：
注3：最新消息指出，微软破例为早已停止更新的 Winodows XP 与 Windows Server 2003 发布相关的修补软件，相关用户可点击链接进行修复。
Win 7（这条是教你怎样关闭系统更新的，反之亦然）：教你怎样关闭Win 7 系统更新功能（关注科技新报微信公众号，点击本文末尾的&阅读原文&可查看具体链接，下同）
Win 8：win8系统更新两种方法
2.连接微软服务器慢？检查Windows Update时间太久？不用急，我们可以下载单独的补丁包：
对应不同系统版本的补丁包下载（个人整理）：
【KB4012598】：http://www.catalog./Search.aspx?q=KB4012598（关注科技新报微信公众号，点击本文末尾的&阅读原文&可获取补丁包链接，下同）
适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾
【KB4012212】：http://www.catalog./Search.aspx?q=KB4012212
适用于Windows 7 32位/64位/嵌入式、Windows Server 位/64位
【KB4012213】：http://catalog./v7/site/Search.aspx?q=KB4012213
适用于Windows 8.1 32位/64位、Windows Server 位/64位
【KB4012214】：http://catalog./v7/site/Search.aspx?q=KB4012214
适用于Windows 8嵌入式、Windows Server 2012
【KB4012606】：http://www.catalog./Search.aspx?q=KB4012606
适用于Windows 10 RTM 32位/64位/LTSB
【KB4013198】：http://www.catalog./Search.aspx?q=KB4013198
适用于Windows 10 1511十一月更新版32/64位
【KB4013429】：http://www.catalog./Search.aspx?q=KB4013429
适用于Windows 10 1607周年更新版32/64位、Windows Server 位
二、关闭系统445端口（应急用）
1.键盘Win + R运行，输入&CMD&，启动命令行窗口，注意，Win 8以上版本用户，需要按Win + X，选择&命令提示符（管理员）A&。接着输入：netstat -an 命令，检查打开的端口中，是否有445端口。
2.如果出现上图式样，就需要把445端口关闭，需要依次输入以下命令：
net stop rdr
net stop srv
net stop netbt
这样，我们的目标就达成了。
360也推出了相应的防护修复工具，其实原理相当简单，就是引导用户到360打补丁的界面，把对应补丁打上，即可使系统得到防护。
下载链接： 360 NSA武器库防护工具（点击本文末尾的&阅读原文&可直接跳转链接，下同）
解压后运行，按提示操作即可
有羊补牢 / 亡羊补牢之措
1.平时做好定期备份个人文件的习惯，现在移动硬盘真不贵，容量越大，单GB价格越低，花钱买个保障是值得的，毕竟硬盘有价、数据无价。
2.如果你已经不幸中招，很遗憾，暂时真没有什么有效的解密办法，下一步，你应该当机立断，死死按住电源键，强行关机。这样病毒的进程就没法运行，自然就不会继续侵蚀你的其他文件。
然后，如果你周围有会修电脑的小伙伴们（比如我，嘻嘻），他的手上，多少会有一个独立的&移动硬盘盒&，你需要由他的协助下，拆开电脑，拿出电脑里的硬盘，然后将硬盘接到移动硬盘盒上，连接到其他电脑上，继续恢复数据。
注意：该硬盘连接到的电脑，需要安装好上述最新补丁，并保持杀毒软件防火墙开启，445端口关闭，并且最好在杀毒软件病毒库已更至最新，断网的状态下，对数据进行备份。
遇到以 .onion 结尾的文件，就不用去动他了，勒索软件采用了AES-128位的加密算法，将破坏的用户文件，加密压缩成这种类型。将这些文件，单独隔离起来，等待未来有可能的解决办法，如果你按电源键的反应够快，相信还是能找回不少未被破坏的数据的。
您至少需输入5个字评论 相关文章界面JMedia联盟成员推荐阅读一秒感染一台电脑 新变种WannaCry2.0病毒来袭 想哭吗？
一秒感染一台电脑 新变种WannaCry2.0病毒来袭 想哭吗？
世界万花筒
据英国《每日快报》报道，网络安全公司CheckPointSoftwareTechnologies周二称，勒索病毒“WannaCry”出现了一个新变种，每小时能够感染3600台电脑，大约每秒一台。CheckPoint研究人员玛雅·霍洛维茨（MayaHorowitz）称，新病毒感染电脑的速度达到了大约每秒一台。她表示，CheckPoint迅速采取措施，通过激活勒索软件中的“杀死开关”（killswitch）功能，阻止新病毒对数据加密或感染其他电脑。从上周五开始，WannaCry感染的用户被要求在72小时内支付价值300美元的比特币，黑客之所以选中比特币，是因为它比传统支付手段更难以追踪，超过72小时赎金则会翻番。如果7天后拒付赎金，计算机将被永久锁住。虽说目前，黑客仅仅收到了34万元的如今，但是它带来的危害可远不止这些。据《华尔街日报》报道，硅谷网络风险建模公司Cyence的首席技术官GeorgeNg称，此次网络攻击造成的全球电脑死机直接成本总计约80亿美元（约合人民币550亿元），这是Cyence考虑了电脑系统平均备份比例以及遭攻击公司的业务范围后做出的估计。另外，BBC报道，截至当前，全球超过150个国家至少20万名用户中招。目前至少有美国、英国、中国、俄罗斯、西班牙、意大利、越南等上百个国家和地区受到严重影响。防护措施Windows XP、Windows Server 2003系统用户还可以关闭445端口，规避遭遇此次敲诈者蠕虫病毒的感染攻击。步骤如下：(1)、开启系统防火墙保护。控制面板-&安全中心-&Windows防火墙-&启用。\(2)、关闭系统445端口。(a)、快捷键WIN+R启动运行窗口，输入cmd并执行，打开命令行操作窗口，输入命令“netstat -an”，检测445端口是否开启。(b)、如上图假如445端口开启，依次输入以下命令进行关闭：net stop rdr / net stop srv / net stop netbt4、谨慎打开不明来源的网址和邮件，打开Office文档的时候禁用宏开启，网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。5、养成良好的备份习惯，及时使用网盘或移动硬盘备份个人重要文件。本次敲诈者蠕虫爆发事件中，国内很多高校和企业都遭遇攻击，很多关键重要资料都被病毒加密勒索，希望广大用户由此提高重要文件备份的安全意识。wannacry病毒简介近期，国外黑客利用俄罗斯影子经纪人曝光的美国国家安全局(NSA)若干利用smb协议(445端口)漏洞而制作的勒索软件，席卷全球并把国内许多大学的大四毕业生论文给加密了。该勒索软件实际是一种蠕虫病毒，它首先利用邮件附件等方式感染一台主机，然后它会自动扫描局域网内开放了445端口的主机，一旦发现，就利用内置的ms17010(俗称“蓝色永恒”)的漏洞，把这些机子也感染。紧接着将所有的文档资料用特殊算法加密，是之无法正常打开，只有按要求提供赎金，黑客才会远程解密该电脑。相关资讯这款勒索病毒主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。根据360的统计显示，该病毒昨日夜间每小时攻击次数达到4000次。根据网络安全机构通报显示，永恒之蓝是NSA网络军火库民用化第一例。它会自动扫描445文件共享端口的Windows机器，无需用户任何操作，就可以将所有磁盘文件加密、锁死，后缀变为.onion，随后，黑客可以远程控制木马，向用户勒索“赎金”。“赎金”需要以比特币的形式支付。虚拟货币支付形式分散、难以追踪，所以非常受黑客欢迎。使用须知现在全国很多学校出现电脑文件被勒索软件锁定的问题。要求支付一定的费用才可以恢复。山大已经发过正式通告文章了。目前还没出现类似的情况，但是漏洞确实存在，尤其是使用Win7系统的同学!我们经过测试，可以成功入侵进指定的目标计算机。漏洞编号是MS17010。本次的校园网大规模勒索事情和四月份Shadow Brokers公布的一系列微软漏洞利用工具有关。影响范围Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista已关闭自动更新的win10用户如何应对勒索病毒？　　针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”，(NSA武器库免疫工具：/nsa/nsatool.exe)免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御。
本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。
世界万花筒
百家号 最近更新：
简介: 万花筒里看世界，看不尽的一次两次三次……
作者最新文章您的位置：
勒索病毒WannaCry 变种2.0版本是真的吗_WannaCry 2.0怎么预防
勒索病毒WannaCry席卷全球，众多电脑陷入了瘫痪，目前又有传闻说勒索病毒WannaCry进行了变种！那么勒索病毒WannaCry真的变种了吗？变种后的勒索病毒WannaCry又有什么影响，勒索病毒WannaCry2.0要如何进行预防呢？
5月14日，北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出，有关部门监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种，暂命名为&WannaCry 2.0&。
与之前版本不同，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，因此传播速度可能会更快。
提醒广大网民尽快升级安装Windows系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。
&Kill Switch&就是紧急开关的意思。WannaCry勒索病毒此前发作的时候会向某个域名发出请求，如果该域名存在就会退出，不存在则继续攻击，这个一名就是它的Kill Switch。
现在，这个开关不存在了，意味着病毒会持续发动攻击&&
勒索病毒蔓延至手机：安卓和iOS都没跑掉
影响广泛的勒索病毒弄的全球人心惶惶，而最新消息称，受到这种流氓软件影响的并非只有Windows操作系统，智能手机也已经沦陷。
安全服务商Trend Micro发布警告称， 勒索病毒目前已经蔓延到了Android和进行过越狱操作的iOS系统。
被入侵的手机将会自动锁屏，只有用户向黑客交付一定数额&赎金&之后才能正常使用手机。
安全人士表示，勒索病毒三年前曾在智能手机上爆发过一阵子，或许是黑客组织发现获得赎金的机会有限，因此把病毒主攻目标转向了PC。
从去年起，也有越来越多冒充正常App的勒索病毒出现在手机上，利用游戏或是视频播放的方式，吸引用户点击后，让手机中毒。
对此，安全人士建议用户不要从非官方渠道下载来路不明的App，或者是打开自己并不熟悉的邮件链接以及网页。
勒索病毒从何处来？
病毒发行者利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具Eternal Blue，将2017年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金，否则电脑数据将被全部删除且无法修复。勒索病毒要求用户在被感染后的三天内交纳相当于300美元的比特币，三天后&赎金&将翻倍。英国NHS官方宣布，袭击该系统的勒索病毒叫做WannaCry（想哭吗）或Wanna Decryptor（想解锁吗）。
国内方面，校园网成勒索病毒重灾区
国内方面，校园网成勒索病毒肆虐之所。5月12日晚间20点左右，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付比特币解锁。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。正直毕业季，北辰提醒广大学子及时备份毕业论文，升级电脑安全等级，避免遭受损失。
据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的&永恒之蓝&黑客武器传播的。&永恒之蓝&可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，&永恒之蓝&就能在电脑里执行任意代码，植入勒索病毒等恶意程序。
为何校园网成重灾区？
360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。
由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。
目前，&永恒之蓝&传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。
如何应对勒索病毒？
针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出&NSA武器库免疫工具&，(NSA武器库免疫工具：/nsa/nsatool.exe)免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。建议电脑用户尽快使用360&NSA武器库免疫工具&进行防御。
比特币黑产链？
安全专家发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒&大礼包&，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。
据外媒报道，与勒索病毒相连的比特币账户已经有了不少进账。由于勒索付费也突显了比特币无法被监管部门追踪的特性。
手机游戏排行
最新游戏专题
||||CopyRight2014年-2017年
497电玩 All Rights Reserved
备案编号:湘ICP备号日志用户版块群组帖子
勒索病毒WannaCry深度技术分析 详解传播、感染和危害细节
UID：10069
&&发表于: 05-16
一、综述&&       5月12日，全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”（EternalBlue）在世界范围内爆发，据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击，有的单位甚至“全军覆没”，损失之严重为近年来所罕见。&本报告将从传播途径、危害方式和结果、受威胁用户群等角度，逐一厘清这个恶性病毒方方面面的真相，用以帮助大家认识、解决该病毒，防范未来可能出现的变种病毒，同时澄清一些谣传和谎言。&&病毒攻击行为和结果&&       遭受WannaCry病毒侵害的电脑，其文件将被加密锁死，惯常来说，受害用户支付赎金后可以获得解密密钥，恢复这些文件。但是根据火绒工程师的分析，遭受WannaCry攻击的用户可能会永远失去这些文件。&       WannaCry病毒存在一个致命缺陷，即病毒作者无法明确认定哪些受害者支付了赎金，因此很难给相应的解密密钥，所以用户即使支付了赎金，也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。&       至于网上流传的各种“解密方法”，基本上是没用的，请大家切勿听信谎言，以防遭受更多财产损失。一些安全厂商提供的“解密工具”，其实只是“文件恢复工具”，可以恢复一些被删除的文件，但是作用有限。&       因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数据的可能性会显著降低。&&传播途径和攻击方式&&       据火绒实验室技术分析追溯发现，该病毒分蠕虫部分及勒索病毒部分，前者用于传播和释放病毒，后者攻击用户加密文件。&       其实，蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播，具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。&       据悉，蠕虫代码运行后先会连接域名：hxxp:// 如果该域名可以成功连接，则直接停止。而如果上述域名无法访问，则会安装病毒服务，在局域网与外网进行传播。&       但是无论这个“神奇开关”是否开启，该病毒都会攻击用户，锁死文件。另外，这个开关程序很容易被病毒制造者去除，因此未来可能出现没有开关的变种病毒。&&易受攻击用户群&&       目前看来，该病毒的受害者大都是行业机构和大型企业，互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度，来说明容易受到攻击的用户群。&       首先，该病毒只攻击Windows系统的电脑，几乎所有的Windows系统如果没有打补丁，都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本，用户如果开启了自动更新或安装了对应的更新补丁，可以抵御该病毒。&       Windows10是最安全的，由于其系统是默认开启自动更新的，所以不会受该病毒影响。同时，Unix、Linux、Android等操作系统，也不会受到攻击。&       同时，目前这个病毒通过共享端口传播同时在公网及内网进行传播，直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染，而通过路由拨号的个人和企业用户，则不会受到来自公网的直接攻击。&&火绒将持续追杀WannaCry&&       目前，对抗“蠕虫”勒索软件攻击的行动仍未结束，在此，火绒安全专家提醒广大用户无需过度担心，“火绒安全软件”已迅速采取措施，完成紧急升级，通过火绒官网下载软件，升级到最新版本即可防御、查杀该病毒。&       自5月12日，WannaCry病毒一出，各机构和用户人心惶惶，**木皆兵，日前更是出现了2.0新变种等耸人听闻的言论。截止到今日，火绒已经收集到的所谓的“WannaCry”最新版本的“变种”，但通过对比分析发现，该“变种“有明显的人为修改痕迹，是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家，目前还没有出现新版本变种。&       而日后病毒是否会变异出现新“变种”？火绒实验室将持续跟踪新的病毒变种，一旦遇到新变种会随时升级产品。火绒产品默认自动升级，请广大用户放心使用，无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本，然后覆盖安装内网电脑即可。&       此次勒索病毒WannaCry传播速度快，影响范围广，是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言，是一次极大的考验，“安全”重回主流势在必行，同时也促进了全社会对网络安全意识的提升。&&二、样本分析&&该病毒分为两个部分：&（1）蠕虫部分，用于病毒传播，并释放出勒索病毒。&（2）勒索病毒部分，加密用户文件索要赎金。&&2.1 蠕虫部分详细分析：&&      &2.1.1 蠕虫代码运行后先会连接域名：hxxp:// 如果该域名可以成功连接，则直接退出。&=700) window.open('/attachment/Mon_69_b018.png?41');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&关于这个“Kill Switch”的存在网络上众说纷纭，我们认为相对可靠的解释是：开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器，但是除了看到几个人为修改“Kill Switch”的样本外，该病毒并没有批量生成、混淆的迹象。另外，如果真是为了对抗安全软件沙箱，和以往对抗沙箱的样本比起来，这段代码过于简单，而且出现的位置也过于明显。所以，放置这样一个“低级”的“Kill Switch”具体出于何种原因，恐怕只有恶意代码作者能够解释了。&&       &2.1.2 如果上述域名无法访问，则会安装病毒服务，服务的二进制文件路径为当前进程文件路径，参数为：-m security，并启动服务。&=700) window.open('/attachment/Mon_69_4edd72a6f7a74a4.png?27');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe（该程序是勒索病毒），并将其启动。& =700) window.open('/attachment/Mon_69_f1e4db70a1db89a.png?29');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&2.1.4 蠕虫病毒服务启动后，会利用MS17-010漏洞传播。传播分为两种渠道，一种是局域网传播，另一种是公网传播。如下图所示：&=700) window.open('/attachment/Mon_69_2b0b.png?5');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&局域网传播主要代码如下图：&=700) window.open('/attachment/Mon_69_37b8.png?9');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&病毒会根据用户计算机内网IP，生成覆盖整个局域网网段表，然后循环依次尝试攻击。相关代码如下：&=700) window.open('/attachment/Mon_69_0e70be8b8581a8d.png?69');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&公网传播主要代码如下图，病毒会随机生成IP地址，尝试发送攻击代码。&=700) window.open('/attachment/Mon_69_f17b95fd9cfcfa0.png?27');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >          &SMB漏洞攻击数据包数据，如下图所示：&=700) window.open('/attachment/Mon_69_6deb28c3b41b2fd.png?13');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&Worm病毒的PE文件中包含有两个动态库文件，是攻击模块的Payload，分别是：x86版本的payload，大小0x4060和x64版本的payload，大小0xc8a4。&               &两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前，会构造两块内存，在内存中分别组合Payload和打开Worm病毒自身，凑成有效攻击Payload，代码如下图所示：&=700) window.open('/attachment/Mon_69_a4d2d.png?82');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&有效攻击Payload模型如下：&=700) window.open('/attachment/Mon_69_9efa1fc248b7ac4.png?16');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&完整的攻击Payload的资源如下图，资源中的第一个DWORD是病毒大小，之后就是病毒本身。&=700) window.open('/attachment/Mon_69_fcd91.png?49');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&然后使用MS17-010漏洞，通过APC方式注入动态库到被攻击计算机的Lsass.exe，并执行Payload动态库的导出函数PlayGame，该函数非常简单，功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”，并执行，如下图所示：&=700) window.open('/attachment/Mon_69_e87.png?29');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&火绒剑监控被攻击计算机的如下：&=700) window.open('/attachment/Mon_69_ee6d1bd5cddd8c4.png?42');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&被攻击的计算机包含病毒的完整功能，除了会被勒索，还会继续使用MS17-010漏洞进行传播，这种传播呈几何级向外扩张，这也是该病毒短时间内大规模爆发的主要原因。如下图：&=700) window.open('/attachment/Mon_69_266b7a.png?48');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&目前，攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响，因此那些通过路由拨号的个人用户，并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的，那么企业网络中的电脑也不会受到来自公网的直接攻击。但是，现实中一些机构的网络存在直接连接公网的电脑，且内部网络又类似一个大局域网，因此一旦暴露在公网上的电脑被攻破，就会导致整个局域网存在被感染的风险。&&2.2 勒索病毒部分详细分析：&&       2.2.1 该程序资源中包含带有密码的压缩文件，使用密码“WNcry@2ol7”解压之后释放出一组文件：&&       a)taskdl.exe，删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。&       b)taskse.exe，以任意session运行指定程序。&=700) window.open('/attachment/Mon_69_d93.png?20');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&       c)u.wnry，解密程序，释放后名为@WanaDecryptor@.exe。&=700) window.open('/attachment/Mon_69_0a7c65e8ce144d7.png?43');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&       d)b.wnry勒索图片资源。&=700) window.open('/attachment/Mon_69_4b8b.png?20');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&       e)s.wnry，包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”，需要通过tor.exe和服务器进行通信。&=700) window.open('/attachment/Mon_69_744f6f453224aad.png?5');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&       f)c.wnry，洋葱路由器地址信息。& =700) window.open('/attachment/Mon_69_181de8670ca4fda.png?6');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&       g)t.wnry，解密后得到加密文件主要逻辑代码。&       h)r.wnry，勒索Q&A。&=700) window.open('/attachment/Mon_69_bcccb79.png?23');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&       2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下：icacls . /grant Everyone:F /T /C /Q&&       2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库，通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。&调用勒索动态库代码，如下图所示：&=700) window.open('/attachment/Mon_69_0cad.png?10');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&勒索主逻辑执行，先会导入一个存放在镜像中的RSA公钥，之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出，再写入到.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密，存放在.eky如下图所示：&=700) window.open('/attachment/Mon_69_0cad.png?10');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&              &如果遍历到的文件扩展名在欲加密的文件扩展名列表中，如下图所示：&=700) window.open('/attachment/Mon_69_e07d877d3a59d65.png?24');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&则会将当前文件路径加入到文件操作列表中，在遍历文件结束后一并进行文件操作。代码如下图：&=700) window.open('/attachment/Mon_69_cfaca44e066b84c.png?22');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&对于每个需要加密的文件，都会调用CryptGenRadom随机生成AES密钥，之后使用Session Key中的RSA公钥对AES密钥进行加密，存放在加密后的数据文件头中，之后将原始文件数据用该AES密钥进行加密。如下图所示：&=700) window.open('/attachment/Mon_69_29e003b706a9d3f.png?16');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >      &整体加密流程，如下图所示：&=700) window.open('/attachment/Mon_69_f261b29dd4cb876.png?15');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" > &因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数据的可能性会显著降低。&&三、关于“WannaCry”新变种的说明&&       早期版本的“WannaCry”病毒存在“Kill Switch”开关，也就是病毒中检测“”这个网址是否可以访问的代码片段，如果可以访问则不会利用“永恒之蓝”漏洞继续传播。&       现在这个域名已经被注册，这个版本“WannaCry”传播功能等于已经关闭，因为这段代码本身没有加密，所以很可能会被得到改病毒样本的“骇客”修改，放开开关，使病毒继续传播。&       截止到今日，火绒已经收集到的所谓“WannaCry”最新版本的“变种”，正如我们推测的一样，网上两个“热炒&变种, SHA256分别为：&&       32f85f11d62e0a8a2ffc981dd3b1b9e8cf&       c8d816410ebfb134ee14d287a34cea9d34d627a2c5e1cf9fde47ec6&&       和早期的“WannaCry”相比&       SHA256：&       24d004a104d4d54034dbcffc2a4b19a11faa614ea2c&       有明显人为修改痕迹，如下图所示：&=700) window.open('/attachment/Mon_69_ac8e397f9f4accc.png?79');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&这个样本仅仅是16进制修改了两个字节，让&Kill Switch&失效，这个修改不会影响火绒的检测。&另外一个样本除了修改了&Kill Switch&域名，还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了，无法运行。如下图：&=700) window.open('/attachment/Mon_69_b80d6dcae402dbd.png?67');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >&除了以上两个样本，火绒还截获另一个人为修改的” WannaCry “样本，同样被修改的不能运行，火绒依然可以检测。SHA256如下：&99c0d50b088df94cb0b150a203def8fd3b106cefaa35c4&截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。&&四、附录&&样本SHA256&&Worm&&24d004a104d4d54034dbcffc2a4b19a11faa614ea2c&32f85f11d62e0a8a2ffc981dd3b1b9e8cf&C8d816410ebfb134ee14d287a34cea9d34d627a2c5e1cf9fde47ec6&&Ransom&&ed01ebfbc9eb5bbea545af4d01bf5fbabe8e080e41aa&4a468603fdcb7a2ebcf9ef37aade532a7964642ecd705a74794b79&2ca2d550e603d74deddab38dad00bf00d&e2d1e34c1bcab9e086b9ae2ac5e30b08def1b0b47&ec9da0bfccacaf685366cfb8a9ece8dedbd08e8a3dd3a&f5cbff5c4dcbb68ee65e711f86c257dfcce&f7c7b5e4b051ea5bdaf13bed224c4b0fd60b890b494&88be9ee3ce0f85086aec1f2fab4a2a7c8a07af851f8df9814adeee5&5d2f08f2beeff301c06dec3afacc71dffb9&e3c239a2b3cde7c24c4e7adbf082b84d7b&4d67e6cd143ed92bebd622e4b8efd6d6a9fdcd07bda8&eeb9cd6a1c4b34a77df951b9c7ccaeb1c1fb&24d004a104d4d54034dbcffc2a4b19a11faa614ea2c&c365ddaa345cfcaff3d4cffe4abadaf9&32f85f11d62e0a8a2ffc981dd3b1b9e8cf&C8d816410ebfb134ee14d287a34cea9d34d627a2c5e1cf9fde47ec6&fc626fe1e0f4d77bcddb9325bfe288aca&bead6ad6cd85e3faeadc4c99d5a8e6844&1be0b96d502c268cb40da97aa9329cb60bac81a96e01cf7356830&c354a9a0bbb975c15e884916dce251807aae788ef7b&6bfa92a2bb18fbedfea4b122e48ae80fac&e0ec1ad116d4b51f18ffffcffb946fad6&63c8a32d80a41cae5d54b31e5c2d6b2adcadd0dedeb&b4d607fae7d9745f9ced081a92a2dcf96f2d0c59e021f0b58618&67eedfe3f13eaaf1ecc5d15a9e62a904fbf&5f2b33deeefbdb2a7a1ee872d47efc4f8f7d9438341f&01b628faa0a65dc084e0c3eaa&16493ecc4c4bc5746acbe96bd8af001f4db76ea7b5a0de7ad0ab&d8ab12e63e6bcae7f965fbf1b63d892ab08ce711f7127&7eefe6c57f824f05cf43cbd66b4ad2939e4&9b60ccca64df935b71c26dcf1944dbc4e23db9335640&a1d23db1f1e3cc2c4aa02f33fecd5039ffc2ed4a3c65c34b79c5d93&ceb51f66c371ba945ccd272b0b20b5eca11626c61&3dcbb0c3ede91f8f2e9efbff9b9cd94906a86dec415f760c163e1&043e0d0d8b8cdaf244f677bd1fd50fbac2&b66db13d17ae8bcafdcd1e2e0a084b6bc987ac829bbff18c3be7f8b4&940dec2039c7fca4a08d16c6ad06ba58e06d4b4d&b3c39aebbd0fda45c0ead63d8dc6d0bac7&aee20fb0ecd3fdec4e64002c&a141e45c3b121aa084f23ebbff980c4b96ae8db2a8d6fded8a5e99a&09a46b3e1bed8d88d6b5bd351b1cd0c238ee36421cafa&0ece99bd32a15d5cd58dc71b1324fdc87e33be46fb4b&11d0f63c287b4bbd1abede3d6f6d49&5dfbc56eedcd9efa39776a&f6c52bf6adaa&9cc32c94ce7dc6e48fcdc0fda0d2cd7ad769e4d0bba13&06f9d5cd3f8fcfbb10a15f7d9a6c8d982&5ad4efd90dcde01d26cc6f32f7ce3ce0b4da19aa097341aff2acaec&b9c5dad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25&63bd325cc237f59a0af21ae1a130fbe9fd5652707af&a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c1c726&e45ec3c038fcea8b22c8a502c41dd&b47e281bfbeebbed5c5a0d27ee8e0065ceeadd76bf0&c1f929afae8fdaf62f0eb44b5b86955&4c69f22dfd92b54fbc27f2adfbc607d68d6ed0faca394c424ccee&201f774d05d5b127a8cd4bdf7cb2c9&22ccdf145e49aba37d960db77af7e0b6cae826d228b&5dee2acf9c0ef2878ee34cda5e82a52dacd&1e8ef9e0d968ee1f240efcea55ccb0f&7bb9ea2c0f53fab9ffeec2cb7d9e7d21&f871e58c385c01eea1ed4bbd6aac40acb6fc&3e6de9e2baacfcaea407854aaa515eed9&a3900daf137c81ca37a4bf10e8be085becb&ca29de1dce54b09f557fe14e4df5bd91f52ba469c8&57c12d3a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4&fc626fe1e0f4d77bcddb9325bfe288aca&190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e&31c4ac3fcde1b69eceba084568a&0bb221bf62d875ccafe5bd8d21faabc1e3c&e14f1a655dcd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079&eb23c9cbdb24c4e2d920f92c894a96&aeaf60defdf986b31e30d9&9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977&78e3f87ffd87d803bd87eec80fdf&7c465ea7bcccf4f94147add808fc0bac19e0090f0ff&24d004a104d4d54034dbcffc2a4b19a11faa614ea2c&2ddc29a646cb4cc86a5d0c9ed57af6ff240e959b17cdcf77d863026&4b76e54de30bfbdeef32&498b8b889bb1f02a377a6a8f0e39f9db4e70cccad820c6e5bc04&f8812f1deb2b6fc85640ecb123bce6235ccbe782d85&dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696&593bbcc8f3beaf69caaf16f07df8bd8af&02f7eb9a4cea87b10c52a70fdf78d9ff&ac7f0fb9a7bb53a157e91d457095eadfd2a76d27a7f65c53ba82&&PDF下载地址：/doc/wannacry.pdf
本帖子中包含更多资源，马上注册，登录后才可以下载或查看！
立即注册&&已有账号？
=700) window.open('/attachment/Mon_69_779e98fce953496.png?27');" style="max-width:700max-height:700" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >
UID：137980
&&发表于: 05-16
我水土不服，就服你
访问内容超出本站范围，不能确定是否安全
如果您提交过一次失败了，可以用”恢复数据”来恢复帖子内容
您目前还是游客，请
&回复后跳转到最后一页