全球遭受網(wǎng)絡(luò)勒索攻擊 騰訊安全反病毒實(shí)驗(yàn)室揭秘“Wannacry”

北京時(shí)間12日晚間，全球范圍內(nèi)有近百個(gè)國家遭到大規(guī)模網(wǎng)絡(luò)攻擊，被攻擊者被要求支付比特幣解鎖。在中國，部分高校校園網(wǎng)爆發(fā)“WannaCry”勒索事件，致使大量學(xué)生電腦上的資料文檔被鎖，需要付費(fèi)才能解鎖。據(jù)公開報(bào)道顯示，受到該“WannaCry”勒索的國家包括中國、英國、美國、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等。針對當(dāng)前的勒索攻擊，騰訊安全反病毒實(shí)驗(yàn)室第一時(shí)間跟進(jìn)并給出了深度權(quán)威的分析?！　?/p>

　　(勒索彈窗)

　　據(jù)騰訊安全反病毒實(shí)驗(yàn)室安全研究人員分析發(fā)現(xiàn)，此次勒索事件與以往相比最大的區(qū)別在于，勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”?！　?/p>

　　據(jù)了解，MS17-010漏洞指的是攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學(xué)之間為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因。　

　　(勒索病毒執(zhí)行后下載的壓縮包)

　　安全研究人員指出，勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過密碼“WNcry@2ol7”解密并釋放文件。這些文件包括了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，輔助攻擊的兩個(gè)exe文件以及含有各國語言的勒索字體。這些文件會(huì)釋放到本地目錄，并設(shè)置為隱藏。其中“u.wnry*”就是后續(xù)彈出的勒索窗口，而在窗口右上角的語言選擇框中，可以針對不同國家的用戶進(jìn)行定制的展示，這些字體的信息也存在于之前資源文件釋放的壓縮包中。　

　　(以下后綴名的文件會(huì)被加密)

　　通過分析病毒，安全研究人員進(jìn)一步發(fā)現(xiàn)，含有txt、doc、ppt、xls等后綴名類型的文件會(huì)被加密。以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過Windows Crypto API進(jìn)行AES+RSA的組合加密，并且后綴名改為了“*.WNCRY”。此時(shí)如果點(diǎn)擊勒索界面的decrypt，會(huì)彈出解密的框，但只有受害者繳納贖金后，才可以解密。此外，安全研究人員還發(fā)現(xiàn)，不法分子是通過“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三個(gè)賬號(hào)隨機(jī)選取一個(gè)作為錢包地址，收取非法錢財(cái)。　

　　(圖片被加密)

　　騰訊安全反病毒實(shí)驗(yàn)室安全研究人員表示，用Windows系統(tǒng)遠(yuǎn)程漏洞進(jìn)行傳播，是此次勒索軟件的一大特點(diǎn)，也是在高校爆發(fā)的根本原因，所以開啟防火墻是簡單直接的方法。具體操作步驟如下：

　　以Windows 7，通過圖例簡單介紹如何關(guān)閉445端口。

　　1、打開控制面板點(diǎn)擊“防火墻”;　

　　2、點(diǎn)擊“高級(jí)設(shè)置”;　　

　　3、先點(diǎn)擊“入站規(guī)則”，再點(diǎn)擊“新建規(guī)則”;　

　　4、勾中“端口”，點(diǎn)擊“協(xié)議與端口”;　

　　5、勾選“特定本地端口”，填寫445，點(diǎn)擊下一步;　

　　6、點(diǎn)擊“阻止鏈接”，一直下一步，并給規(guī)則命名后，就可以了?！　?/p>

　　(騰訊電腦管家修復(fù)漏洞圖)

　　此外，廣大用戶也可以通過升級(jí)微軟補(bǔ)丁來阻止攻擊。目前，騰訊電腦管家實(shí)時(shí)安全保護(hù)已兼顧漏洞防御和主動(dòng)攔截，用戶可保持騰訊電腦管家開啟狀態(tài)來防范，并盡快使用“漏洞修復(fù)”功能進(jìn)行掃描修復(fù)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。