Windows安全#WannaCry勒索蠕虫


=Start=

缘由:

因为前段时间Shadow Broker披露了大量Windows漏洞,甚至爆出黑客组织 Equation Group 对于Windows远程漏洞 MS17-010 的利用工具,该漏洞影响范围之广,堪称杀器。最近(2017年05月12日)就出现了基于MS17-010漏洞的WannaCry蠕虫,感染了大量的计算机,与以往蠕虫不同的是,本次蠕虫的 Payload 是个勒索软件,会加密用户的各种文档文件,而且暂无可靠修复方法,给用户造成巨大损失。

正文:

参考解答:
木马概况:

WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝(EternalBlue)”漏洞工具,进行网络端口(445)扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。

木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。

木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。

安全建议:

由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。所以请参考以下安全建议:

1、关闭445、139等端口,方法详见:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下载并更新补丁,及时修复漏洞(目前微软已经紧急发布XP、Win8、Windows server2003等系统补丁,已经支持所有主流系统,请立即更新)。

XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、安装杀毒软件并开启主动防御进行拦截查杀;

4、支付比特币并不能解密文件,不要支付比特币,保留被加密的文件,等待解密


1)腾讯电脑管家的《WannaCry蠕虫详细分析》: http://www.freebuf.com/articles/system/134578.html

2)瑞星的《WannaCry分析报告》: http://www.freebuf.com/articles/paper/134637.html

3)360 的《WanaCrypt0r勒索蠕虫完全分析报告》: http://bobao.360.cn/learning/detail/3853.html

4)Endgage 的《WCry/WanaCry Ransomware Technical Analysis》: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

5)PeerLyst 的 《ransomware worm IOC’s, Tor C2 and technical analysis + SIEM rules》: https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

此外,微软破例为不再支持的 Windows XP 提供了补丁:


#WannaCry恶意蠕虫的扫描和防疫程序
#https://blog.trustlook.com/2017/05/14/wannacry-ransomware-scanner-and-vaccine-toolkit/
#https://github.com/apkjet/TrustlookWannaCryToolkit

#关闭445等相关端口(需要以管理员身份运行)
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="deny135" dir=in protocol=tcp localport=135 action=block
netsh advfirewall firewall add rule name="deny138" dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name="deny137" dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block

echo "针对xp系统的备用方法"
netsh firewall set portopening protocol=ALL port=445 name=445 mode=DISABLE scope=ALL profile=ALL
netsh firewall set portopening protocol=ALL port=135 name=135 mode=DISABLE scope=ALL profile=ALL
netsh firewall set portopening protocol=ALL port=138 name=138 mode=DISABLE scope=ALL profile=ALL
netsh firewall set portopening protocol=ALL port=137 name=137 mode=DISABLE scope=ALL profile=ALL
netsh firewall set portopening protocol=ALL port=139 name=139 mode=DISABLE scope=ALL profile=ALL

# Freebuf ( http://www.freebuf.com/?s=WannaCry )
全球安全厂商针对“Wannacry勒索蠕虫”响应与处置方案汇总(总结包括微软、思科、CNVD、CNNVD、360、安天、腾讯、安恒、瑞星、斗象科技、微步在线等安全企业和组织给出针对WannaCry的分析和处置方案)
http://www.freebuf.com/news/134771.html
关于勒索病毒WannaCry的8个真相(火绒安全)
http://www.freebuf.com/articles/system/134728.html
Wannacry蠕虫勒索软件处置流程及方案(漏洞盒子)
https://www.vulbox.com/knowledge/detail/?id=10
WannaCry勒索病毒数据恢复指引(腾讯云安全)(重点看评论)
http://www.freebuf.com/articles/database/134673.html
WannaCry勒索病毒分析报告(瑞星)
http://www.freebuf.com/articles/paper/134637.html

参考链接:

# Microsoft官方
Microsoft 安全公告 MS17-010 – 严重
https://technet.microsoft.com/zh-cn/library/security/MS17-010
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
site:blogs.technet.microsoft.com wannacry
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

# Cisco
http://blog.talosintelligence.com/2017/05/wannacry.html

# 安天实验室
http://www.antiy.com/response.html
http://www.antiy.com/response/wannacry.html

# 绿盟
WannaCry勒索事件处置手册
http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/
wannacry勒索病毒 绿盟威胁情报中心NTI公开分析报告
http://blog.nsfocus.net/wannacry-extortion-virus-nti-public-analysis-report/

# 知乎
WanaCrypt0r 2.0(计算机病毒)
https://www.zhihu.com/topic/20081698/hot

更多参考链接:

NSA方程式有更多黑客工具下载了!信息量很大,连中国运营商都被入侵过?
http://www.freebuf.com/news/131531.html
https://github.com/x0rz/EQGRP
https://hackmd.io/s/r1gLMUUpx
https://mp.weixin.qq.com/s/-vCH5_AN5gVtOo1k9FR7Kw
https://github.com/misterch0c/shadowbroker

windows系统打MS17-010补丁
http://thief.one/2017/05/15/1/

谈谈WannaCry病毒观后感
http://www.yunweipai.com/archives/17460.html

[技术原创] WanaCrypt0r勒索病毒:20款杀软主防测试
http://www.91ri.org/17072.html

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室
http://blog.topsec.com.cn/?p=2230

WannaCry引发的企业安全建设思考
https://www.sec-un.org/wannacry%E5%BC%95%E5%8F%91%E7%9A%84%E4%BC%81%E4%B8%9A%E5%AE%89%E5%85%A8%E5%BB%BA%E8%AE%BE%E6%80%9D%E8%80%83/

=END=


《“Windows安全#WannaCry勒索蠕虫”》 有 20 条评论

  1. 除了永恒之蓝,美国 NSA 方程式组织中,还有哪些大杀器是需要警惕的?
    https://www.zhihu.com/question/59783043

    利用NSA的MS17-010漏洞利用工具实现Win 7和Win Server 2008系统入侵
    http://www.freebuf.com/articles/system/132813.html

    ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法
    http://www.freebuf.com/sectool/132076.html

    利用Pentestbox打造MS17-010移动”杀器”
    http://www.freebuf.com/articles/system/132274.html

    `普通人的应对策略:
    1.平时多备份。
    2.少用盗版系统/软件。
    3.及时打补丁。
    4.别再用老旧系统/软件。
    `

  2. 【技术分享】360天眼:WannaCry(想哭勒索蠕虫)技术分析
    http://bobao.360.cn/learning/detail/3860.html
    【i春秋&安全客】WannaCry勒索病毒全解读,权威修复指南视频学习!
    http://bobao.360.cn/news/detail/4167.html

    【安全预警】一波未平一波又起!影子经纪人宣称每月将定期出售NSA黑客工具
    http://bobao.360.cn/news/detail/4169.html
    https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition

  3. Windows 漏洞价值分类排名,来自yuange
    http://www.4byte.cn/learning/44312.html
    `
    1、底层基本api或者结构漏洞。
    2、rpc漏洞。
    3、iis远程漏洞。
    4、smb漏洞。
    5、exchange、3389 、dns、wins等远程服务漏洞。其实3、4都是这个范围,但因为其3、4针对的两个服务的地位,其3、4的价值得到提升。
    6、ie、jpg漏洞。
    7、word、pdf等文件格式漏洞。6也属于这个范围,因为ie的应用广泛和钓鱼的流行,使得6排名得到提升,甚至高于5的部分漏洞价值。6、7也归属于远程,但因为需要用户参与,所以影响其排名,分类排在5后面。
    8、本地提权漏洞。这个又可以分为两大类,一类是可以匿名的算老8,一类是修要登录的算老9。
    10、其它的一些信息泄露、拒绝服务等漏洞。
    `

  4. Extracting a 19 Year Old Code Execution from WinRAR
    https://research.checkpoint.com/extracting-code-execution-from-winrar/

    【漏洞预警】WinRAR代码执行漏洞威胁预警
    https://mp.weixin.qq.com/s/_JoZQHW0hqvPdgizv_XdZQ
    `
    近日,有安全研究人员使用WinAFL fuzzer发现WinRAR中存在逻辑漏洞,利用该漏洞攻击者可完全控制受害者计算机。攻击者只需利用此漏洞构造恶意的压缩文件,并以钓鱼邮件、网盘、论坛等方式诱导受害者下载恶意构造文件,当受害者使用WinRAR解压该恶意文件时,即完成整个攻击过程。

    该漏洞存在于WinRAR使用的ACE库中,在WinRAR解压缩.ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,为攻击者增加后门植入方式。该漏洞在WinRAR中已存在超过19年,目前WinRAR已经放弃对该易受攻击格式(.ACE)的维护支持。

    受影响软件:
    WinRAR < 5.70 Beta 1
    不受影响版本:
    WinRAR 5.70 Beta 1
    `

    一场由WinRAR全球漏洞危机引发的思考:压缩软件该何去何从?
    https://mp.weixin.qq.com/s/_lECsyxJbIfyoBlPeVRYOQ

  5. WinRAR 被曝存在遗留19年的漏洞,影响全球多达5亿用户
    https://mp.weixin.qq.com/s/-LOXxAaSFV7fX4sDGIQQ8A

    实战!打造WinRAR代码执行漏洞的种植EXP
    https://mp.weixin.qq.com/s/j8G9Tjq2NPg0CFhXl_sQGQ

    WinRAR漏洞复现过程
    https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/

    全网筛查 WinRAR 代码执行漏洞 (CVE-2018-20250)
    https://xlab.tencent.com/cn/2019/02/22/investigating-winrar-code-execution-vulnerability-cve-2018-20250-at-internet-scale/
    `
    0x03 影响范围
    unacev2.dll 作为一个第三方共享库,也被其它一些支持 ACE 文件格式解压的软件所使用,这些软件也同样受到该漏洞的影响。
    利用玄武实验室自研的“阿图因”系统,我们对已收录的全网 PC 软件进行了扫描,统计了 unacev2.dll 的使用情况,其版本分布情况如下图所示:xxx。

    通过“阿图因”系统,我们还能够对使用了该共享库的软件进行反向溯源,目前扫描到了受影响的有 24 款国外软件,15 款国产软件。
    多数受影响的软件都可以被归类为工具软件。其中至少有9款压缩软件,以及8款文件浏览器。还有其它许多软件将 unacev2.dll 作为 WinRAR 的一部分放在了自己的软件包中,作为解压模块使用。

    0x04 修复建议
    目前,WinRAR 已经在 5.70 Beta 1 版本中修复了这个问题。由于开发 ACE 解压模块的公司已于 2017 年 8 月关闭,而且 unacev2.dll 共享库并没有公开源码,导致漏洞无法被正确修复。因此 WinRAR 的修复方案是直接将 unacev2.dll 模块移除,并决定不再支持 ACE 文件格式的解压。

    另外,360压缩在最新版本中也已经修复了这个问题,修复方案同样是移除 unacev2.dll 模块。
    对于其它受影响软件的用户,我们建议您关注相关软件的修复更新情况,及时更新版本。在软件开发商主动修复之前,可以通过手动删除安装目录下的 unacev2.dll 模块来应急修复。
    `

  6. antispy: Windows下手工杀毒辅助工具开源
    https://github.com/mohuihui/antispy
    `
    AntiSpy is a free but powerful anti virus and rootkits toolkit.It offers you the ability with the highest privileges that can detect,analyze and restore various kernel modifications and hooks.With its assistance,you can easily spot and neutralize malwares hidden from normal detectors.
    `

  7. 一份超级实用的勒索病毒自救指南
    https://www.secpulse.com/archives/123400.html
    `
    经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗?

    第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后缀名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特征。

    出于职业习惯,我打包了部分加密文件样本和勒索病毒提示信息用于留档,就在今天,我又重新上传了样本,至今依然无法解密。

    作为一个安全工程师,而非一个专业的病毒分析师,我们可以借助各大安全公司的能力,寻找勒索病毒的解密工具。

    本文整理了一份勒索病毒自救指南,通过勒索病毒索引引擎查找勒索病毒相关信息,再通过各个安全公司提供的免费勒索软件解密工具解密。当然,能否解密全凭运气,so,平时还是勤打补丁多备份。

    在勒索病毒搜索引擎输入病毒名、勒索邮箱、被加密后文件的后缀名,或直接上传被加密文件、勒索提示信息,即可可快速查找到病毒详情和解密工具。

    这些网站的解密能力还在持续更新中,是值得收藏的几个勒索病毒工具型网站。
    `

    【360】 勒索病毒搜索引擎,支持检索超过800种常见勒索病毒
    http://lesuobingdu.360.cn

    【腾讯】 勒索病毒搜索引擎,支持检索超过 300 种常见勒索病毒
    https://guanjia.qq.com/pr/ls/

    【启明】VenusEye勒索病毒搜索引擎,超300种勒索病毒家族
    https://lesuo.venuseye.com.cn/

    【奇安信】勒索病毒搜索引擎
    https://lesuobingdu.qianxin.com/

    【深信服】勒索病毒搜索引擎
    https://edr.sangfor.com.cn/#/information/ransom_search

    很多安全公司都提供了免费的勒索病毒解密工具下载,收集和整理相关下载地址,可以帮助我们了解和获取最新的勒索病毒解密工具。

    【腾讯哈勃】勒索软件专杀工具
    https://habo.qq.com/tool/index

    【金山毒霸】勒索病毒免疫工具
    http://www.duba.net/dbt/wannacry.html

    【火绒】安全工具下载
    http://bbs.huorong.cn/forum-55-1.html

    【瑞星】解密工具下载
    http://it.rising.com.cn/fanglesuo/index.html

    【nomoreransom】勒索软件解密工具集
    https://www.nomoreransom.org/zh/index.html

    【MalwareHunterTeam】勒索软件解密工具集
    https://id-ransomware.malwarehunterteam.com/

    【卡巴斯基】免费勒索解密器
    https://noransom.kaspersky.com/

    【Avast】免费勒索软件解密工具
    https://www.avast.com/zh-cn/ransomware-decryption-tools

    【Emsisoft】免费勒索软件解密工具
    https://www.emsisoft.com/ransomware-decryption-tools/free-download

    【Github项目】勒索病毒解密工具收集汇总
    https://github.com/jiansiting/Decryption-Tools

回复 a-z 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注