勒索蠕蟲-WanaCrypt0r防治攻略和事件回顧

1 事件背景

======

2017年5月12日星期五，全球近100個國家（中國、西班牙、義大利、葡萄牙、俄羅斯、烏克蘭）的，多個行業機構的電腦感染名為WannaCry0r的勒索軟體。

目前據報導英國醫療、德國火車站、中國各大學教育網及內網、中國公共行業自助設備等均已經感染WannaCry0r的勒索軟體。

WannaCry0r勒索軟體支持28種不同的語言，加密179種不同類型的文件，並要求受害者使用比特幣匯款（300美金- 600美金），以解密被加密等數據文件。

點擊查看最新的攻擊地圖

攻擊地圖查看連結

2.什麼是勒索蠕蟲

勒索病毒是由黑客利用了 Windows 電腦上一個關於文件分享的 MS17-010 漏洞而產生的。

微軟現在已經停止對XP 和 Vista 兩個系統提供安全更新，而國內使用 XP 的用戶又不在少數，因此這類用戶很容易被黑客利用該漏洞進行突破。

其實，微軟早在兩個月前就發布了針對該漏洞的安全更新，而很多用戶沒有及時打補丁的習慣，這也給了黑客可乘之機。

勒索病毒的作用是破壞你的電腦文件。

不過這種破壞是可逆的，黑客可以幫你把破壞的文件還原回去，當然你需要付給黑客一筆費用才行。

黑客為了增加震懾效果，還對受害者給出一定的期限，超過期限費用將成倍增長，甚至停止給用戶提供恢復服務。

由於勒索病毒破壞過程中對電腦進行了 RSA 加密。

這種加密方式只要加密密鑰足夠長，用戶幾乎是不可能破解的。

一般來說，這類病毒密鑰位數長達2048，傳統電腦需要數十萬年才能夠破解。

所以一旦電腦中毒，基本沒有挽回餘地。

3.勒索蠕蟲攻擊是誰幹的？

最新消息，這次攻擊始作俑者是美國一位高中生，在緬因州波特蘭高中，FBI已經在路上，如果他沒有價值的話，就會上新聞了，這貨真強，犯了大忌，觸犯了黑客聯盟的宗旨：「不對學生下手，也不針對任何盈利組織」惹出了全球170多萬黑客在線找，首當其衝的是俄羅斯黑客。

現在從FBI，到國家安全局，到全球黑客都在通緝。

4.勒索蠕蟲影響範圍

（1）世界範圍

（2）國內感染情況

（3）高校感染情況

5.勒索蠕蟲的攻擊原理

這個病毒會掃描開放 445 文件共享埠的 Windows 設備，只要你的設備處於開機上網狀態，黑客就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

攻擊流程圖

6.勒索蠕蟲的後門開關

化名Malware Tech（簡稱MT）的網絡安全人員在分析這類病毒時注意到，病毒在感染每一台新電腦時，都會嘗試連接到一個特定的網址。

然而，這個由一長串字母組成、仿佛是隨手按鍵盤打出來的網址，竟然沒有被註冊過。

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

隨後，MT查看了病毒代碼，並從中找出了這樣的語句：

也就是說，病毒在感染一台計算機時，會嘗試連接該域名。

如果解析失敗，則繼續感染；如果解析成功（該域名被人註冊了），則會退出程序、停止感染。

這正是控制勒索病毒的開關！

那個網絡安全小哥無意間的一註冊，

萬萬沒想到 ，

觸發了病毒作者留給自己的緊急停止的開關…..

事後，小哥自己在twitter上自嘲道…

「我坦白，在我註冊這個域名之前，完全不知道他能停止這次病毒的傳播… 這發現完全意外…」

7.勒索蠕蟲防禦措施

（1）立即斷網，並使用移動儲存設備（如 U 盤、移動硬碟）備份重要資料，關閉445埠

關閉埠的教程如下：

1.1 Win7、Win8、Win10的處理流程

1）關閉網絡

2）打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

3）選擇啟動防火牆，並點擊確定

4）點擊高級設置

5）點擊入站規則，新建規則，以445埠為例

6）選擇埠、下一步

7）選擇特定本地埠，輸入445，下一步

8）選擇阻止連接，下一步

9）配置文件，默認全選，下一步

10）設置名稱，可以任意輸入，完成即可。

11）恢復網絡

12）開啟系統自動更新，並檢測更新進行安裝

註：在系統更新完成後，如果業務需要使用SMB服務，將上面設置的防火牆入站規則刪除即可。

1.2 XP系統的處理流程

1）依次打開控制面板，安全中心，Windows防火牆，選擇啟用。

2）通過註冊表關閉445埠，單擊「開始」——「運行」，輸入「regedit」，單擊「確定」按鈕，打開註冊表。

3）找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，選擇「Parameters」項，右鍵單擊，選擇「新建」——「DWORD值」。

4）將DWORD值命名為「SMBDeviceEnabled」，值修改為0。

5）重啟機器，查看445埠連接已經沒有了。

6）安裝微軟總部針對該漏洞（MS17-010）發布的特別補丁[5]。

（2）安裝各大廠商的防禦工具

360的出品的免疫工具

http://dl.360safe.com/nsa/nsatool.exe

騰訊出品的免疫工具

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe

騰訊出品的免疫工具

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe

瑞星出品的免疫工具

http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

智安全Wannacry免疫工具

http://sec.sangfor.com.cn/download?file=WannaCryTool.zip

（3）企業網管的應對策略

應該在企業出口網關上啟用過濾策略，屏蔽網際網路445埠的掃描，屏蔽內網低安全區域的445埠掃描

網絡出口防火牆應用威脅情報檢查或屏蔽指示器。

在企業內部的交換機上，啟用ACL規則

屏蔽135、139、445等風險埠

具體命令諮詢對應廠商技術人員

（4）臨時方案關閉共享服務（即可關閉445埠開放），防止被攻擊

sc stop LanmanServer

sc stop Browser

sc config LanmanServer start= disabled

sc config Browser start= disabled

（5）應用MS17-010補丁

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

（6）安裝殺毒軟體並升級到最新病毒庫

8.感染勒索蠕蟲之後的數據恢復策略（首先記得祈禱）

（1）360發布的數據恢復工具

360首發勒索蠕蟲病毒文件恢復工具

https://dl.360safe.com/recovery/RansomRecovery.exe

（2）針對企業

已被感染的計算機請立即隔離，禁用所有有線及無線網卡或直接拔掉網線。

9.這次事件的反思

（1）備份是個好習慣

（2）目前國內波及範圍最廣的是中國的教育系統，各大高校，公安內網系統，鐵路交通管理系統，以及一些政府企事業的系統等。

這些單位很多都是用的XP系統，迫切需要升級，不能再使用過去老舊的基於IE開發的管理系統，而且我們公務和行政人員也要具有一定的網絡安全意識，防微杜漸。

而且還有相關的外包廠商會迎來一個大單子。

（偷笑）

參考：

https://mp.weixin.qq.com/s?__biz=MjM5NDkxMTgyNw==&mid=2653058762&idx=1&sn=ee6ad2d29557baca04cafea0db9afff4&chksm=bd5655f68a21dce03fbc2811ce45d4c6c6ca8fe7e20bf750c5339b2c33ca6e9f8d75ccd85932&mpshare=1&scene=1&srcid=0513eoIHLK2GnBaDEtsKv8AT&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MzI5NzU0MjgzNA==&mid=2247484584&idx=1&sn=484841b51b0173afb99b34444703b64b&chksm=ecb23175dbc5b8637f2c389d6a9716b30ca4c3c11fc118b83e02930172dcd8882a56f297177c&mpshare=1&scene=1&srcid=0514mWImnzFLHjnQtaLqh8zh&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MzI3MzAzNDAyMQ==&mid=2657596878&idx=1&sn=7db1c4354a7f56c493fbb2225eaa1fbf&chksm=f0ba6b84c7cde292cae5e088e736565bf9594306ce202c10183b1e5ad84a78d144f79bb743b0&mpshare=1&scene=1&srcid=0514scV04O6gCXEehU9nBw5F&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MzIwODIxMjc4MQ==&mid=2651003672&idx=1&sn=3a99273a1df3db7326dadd0bea064347&chksm=8cf13d5abb86b44c23bded0a383b9a1fba02fc47594a59a89eec64a72ce848c8b506d10f5dd3&mpshare=1&scene=1&srcid=0513NnHJVoFYjugZNFhrKsrh&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MjM5NTgzODkxMw==&mid=2651059537&idx=1&sn=730f088dc066c7f4097663eae7d38309&chksm=bd053bff8a72b2e9701ba2cc14c61ed360432f611226060d469a61637e6161dc49be72c10739&mpshare=1&scene=1&srcid=0513kFI6dkBPKywHJ1D0iyxQ&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MzI3MzAzNDAyMQ==&mid=2657596878&idx=1&sn=7db1c4354a7f56c493fbb2225eaa1fbf&chksm=f0ba6b84c7cde292cae5e088e736565bf9594306ce202c10183b1e5ad84a78d144f79bb743b0&mpshare=1&scene=1&srcid=0514scV04O6gCXEehU9nBw5F&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650442228&idx=1&sn=99a62fb4ac03aec7c13151ee0995f52c&chksm=83bbec10b4cc65069407fb89d95ddb88f2ec2364ce71fcec0a82cca6c23dbcfcb49c63549ccf&mpshare=1&scene=1&srcid=0514ClIAwupSQ2cQvdJ6hiWN&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd

https://mp.weixin.qq.com/s?__biz=MzI5NzU0MjgzNA==&mid=2247484584&idx=1&sn=484841b51b0173afb99b34444703b64b&chksm=ecb23175dbc5b8637f2c389d6a9716b30ca4c3c11fc118b83e02930172dcd8882a56f297177c&mpshare=1&scene=1&srcid=0514mWImnzFLHjnQtaLqh8zh&pass_ticket=9FLlfRaLupXjqW3MfSMEmik407j%2BdWv36bmDxx5VO4ZoUcadN9QJCT%2FzjAADo6ug#rd