登录 立即注册
查看: 4405|回复: 0

“WannaCry”勒索预防方法

[复制链接]

1142

主题

4153

帖子

4346

积分

超级版主

Rank: 8Rank: 8

积分
4346

逍遥会员章逍遥忠实勋章逍遥荣耀勋章逍遥达人勋章逍遥游戏玩家逍遥论坛达人逍遥新人资格章

发表于 2017-5-14 07:50:25 | 显示全部楼层 |阅读模式

北京时间12日晚间,全球范围内有近百个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。在中国,部分高校校园网爆发“WannaCry”勒索事件,致使大量学生电脑上的资料文档被锁,需要付费才能解锁。据公开报道显示,受到该“WannaCry”勒索的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等。针对当前的勒索攻击,腾讯安全反病毒实验室第一时间跟进并给出了深度权威的分析。

(勒索弹窗)

分析发现,此次勒索事件与以往相比大的区别在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

据了解,MS17-010漏洞指的是攻击者利用该漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收445端口的数据。但是在中国高校内,同学之间为了打局域网游戏,有时需要关闭防火墙,这也是此次事件在中国高校内大肆传播的原因。

(勒索病毒执行后下载的压缩包)

安全研究人员指出,勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码“WNcry@2ol7”解密并释放文件。这些文件包括了后续弹出勒索框的exe,桌面背景图片的bmp,辅助攻击的两个exe文件以及含有各国语言的勒索字体。这些文件会释放到本地目录,并设置为隐藏。其中“u.wnry*”就是后续弹出的勒索窗口,而在窗口右上角的语言选择框中,可以针对不同国家的用户进行定制的展示,这些字体的信息也存在于之前资源文件释放的压缩包中。

(以下后缀名的文件会被加密)

通过分析病毒,安全研究人员进一步发现,含有txt、doc、ppt、xls等后缀名类型的文件会被加密。以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密,并且后缀名改为了“*.WNCRY”。此时如果点击勒索界面的decrypt,会弹出解密的框,但只有受害者缴纳赎金后,才可以解密。此外,安全研究人员还发现,不法分子是通过“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三个账号随机选取一个作为钱包地址,收取非法钱财。

(图片被加密)

腾讯安全反病毒实验室安全研究人员表示,用Windows系统远程漏洞进行传播,是此次勒索软件的一大特点,也是在高校爆发的根本原因,所以开启防火墙是简单直接的方法。具体操作步骤如下:

以Windows 7,通过图例简单介绍如何关闭445端口。

1、打开控制面板点击“防火墙”;

2、点击“高级设置”;

3、先点击“入站规则”,再点击“新建规则”;

4、勾中“端口”,点击“协议与端口”;

5、勾选“特定本地端口”,填写445,点击下一步;

6、点击“阻止链接”,一直下一步,并给规则命名后,就可以了。


简单的方法,去官网升级安全补丁。链接在此(https://technet.microsoft.com/zh-cn/library/security/MS17-010
CPU要支持虚拟化技术 主板开启VT 关闭Hyper-V 显卡驱动正确 完整系统
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|模拟器|手机模拟器|手游模拟器|安卓模拟器|( 沪ICP备14046591号 )

GMT+8, 2024-12-4 01:32 , Processed in 0.027646 second(s), 24 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表