勒索病毒-复盘

2017512日勒索病毒事件处置工作复盘

一、事件始末:

2017年5月12日勒索病毒在我国出现案例,我公司售后部及时发现相关报道,并与2017年5月13日早8点开始参考“国家互联网应急中心”的《关于防范Windows操作系统勒索软件Wannacry的情况通报》,制定出《太原市无间科技勒索加密软件预警及防止预案V1.0》,在早晨8点30分开始,销售部结合其可能传播的行业,如:公安、教育等进行突击回访,帮助我公司客户尽可能避免损失。

二、处置成果:

截止到2017年5月15日下午17点,销售部共计:通过电话通知113家客户,上门协助客户加固网络系统12家,发送邮件96封防治预案邮件,通过微信、QQ传递预案文件68个。

售后部在此期间与省厅以及各信息安全厂商(安恒、360、瑞星等)积极沟通、测试,并与2017年5月15日中午10点推出《太原市无间科技勒索加密软件(勒索病毒)预警及防止预案V2.0》。

三、后续工作:

为了能更好的为教育行业提供协助,在2017年5月23日在公司“贵宾报告厅”特邀请网监大队马队长以及26所高校信息中心主管领导、工程师就等保以及勒索病毒事件处置进行交流。

截止本稿发布日期,本次勒索病毒事件未给我公司客户带来任何危害,公司从2017年6月12日通过销售进行“勒索病毒变种及系统加固”需求回访,解决“类似勒索病毒再次爆发,我单位如何防止不被感染,数据不会被恶意加密?我们现在应该做哪些工作?”等实际问题。

四、勒索病毒技术小结:

Ø勒索病毒涉及到的技术点:

ü445端口,通过它可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客和病毒同样可以利用它进行攻击和传播。

üMS17-010漏洞(EternalBlue漏洞)。

Ø勒索病毒一般指WannaCry

WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。爆发至今至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。

Ø病毒概况

2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:

当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。


WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。)

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。

2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。

2017年5月14日,监测发现,WannaCry勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

Ø攻击特点

WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。

被该勒索软件入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为.WNCRY,并会在桌面弹出勒索对话框,要求受害者支付价值数百美元的比特币到攻击者的比特币钱包,且赎金金额还会随着时间的推移而增加。

Ø攻击对象类型

ü常用的Office文件(扩展名为.ppt、.doc、.docx、.xlsx、.sxi)

ü并不常用,但是某些特定国家使用的office文件格式(.sxw、.odt、.hwp)

ü压缩文档和媒体文件(.zip、.rar、.tar、.mp4、.mkv)

ü电子邮件和邮件数据库(.eml、.msg、.ost、.pst、.deb)

ü数据库文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)

ü开发者使用的源代码和项目文件(.php、.java、.cpp、.asp、.asm)

ü密匙和证书(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)

ü美术设计人员、艺术家和摄影师使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)

ü虚拟机文件(.vmx、.vmdk、.vdi)

五、处置方法

1、企业服务器用户,应针对服务器全部重要数据进行一次全面备份,同时采取相关备份措施,及时调整及制定备份策略,保护服务器数据的安全;

2、终端计算机用户应首先关闭网络共享及文件共享,同时针对操作系统关闭不必要开发的端口,如445、135、137、138、139等端口;

3、终端计算机用户应对于重要文件备份到其它存储介质中,进行离线存储,保证数据的安全;对于备份到云端的用户,请关闭自动同步功能,避免文件被加密后同步云端造成的数据损失;

4、利用微软发布的“MS17-010”补丁修复“永恒之蓝”攻击的系统漏洞,请及时下载修复;【XP、2003用户可下载相关免疫工具进行防护】;

5、补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010

6、网络系统管理员应根据企业情况在边界出口处禁止互联网针对企业网络445、135、137、138、139等端口的连接。

7、免疫工具及解决方案

Ø瑞星解决方案下载地址:

https://202.97.152.201:443/#/link/7BE947E6F34752B1742C5950EDBCD98F

Ø360解决方案下载地址:

“永恒之蓝”勒索蠕虫漏洞修复工具:http://b.360.cn/other/onionwormfix

“永恒之蓝”勒索蠕虫专杀工具:http://b.360.cn/other/onionwormkiller

8、基本处置方法:已经感染的计算机,及时断网并隔离重新安装系统,不应有对相应账户进行办款等行为。对于没有感染的计算机或系统利用备份系统做好数据备份。

太原市无间科技有限公司

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 151,829评论 1 331
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 64,603评论 1 273
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 101,846评论 0 226
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 42,600评论 0 191
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 50,780评论 3 272
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 39,695评论 1 192
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,136评论 2 293
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,862评论 0 182
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,453评论 0 229
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,942评论 2 233
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,347评论 1 242
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,790评论 2 236
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,293评论 3 221
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,839评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,448评论 0 181
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 34,564评论 2 249
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 34,623评论 2 249

推荐阅读更多精彩内容

  • 从前有只小牛,它总是做好事。 有一天,一块巨石挡在了马路中间,小牛见状,马上把巨石推到一边。小兔们来了,看到通顺的...
    崔以呈阅读 1,219评论 2 2
  • 湖边的草地上面经常有一群白鹅中午的时候去散步,她们都穿着平底鞋,不时舒缓着身体,煽动着翅膀,好不惬意。 这天中午,...
    康萌故事阅读 490评论 0 2
  • 《童年到伴随者实操篇》——学习笔记 苏小妹老师是国际蒙台梭利教育的专家,今日在师大敬文讲台听了她的课《童年到伴随者...
    悠游涵泳阅读 188评论 0 0
  • 作为不到一岁孩子的宝妈,时间被无情地碎成渣渣,仅有的一点闲暇时间也想用来睡觉,可惜还没有孩儿爹分分钟睡着的天赋,没...
    大侠郭的小九九阅读 351评论 6 4