wannacry, 全球勒索病毒分析, 不想电脑被勒索, 速点这里更新

1事件解读

5月12日晚8点起，比特币病毒（勒索病毒）全球大面积爆发，攻击各国政府，学校，医院等网络。

英国的NHS(英国国家医疗服务系统）就遭受了这样的勒索攻击，全英目前有25家医院遭受影响。

爆发地点大数据分析图

中国各大高校的学校网络，也受到了比特币病毒的冲击。毕业季临近，学生们的毕业论文以及实验数据被病毒感染锁定，而黑客要求缴纳比特币赎金才能解锁文件。如果七天内不交付赎金，那么电脑内大的文件将永远不能恢复。

高校机房中招

机场中招

国内某银行（留面子）ATM机中招

中国某石油公司（留面子）自助加油机中招

变异版本出现

内网保护在NSA的策略下全然无效

某国网络警察中招

勒索信中的比特币，可能很多人会很陌生。比特币是一种网络加密的虚拟货币，无法追踪其流动。

而比特币与人民币的兑换价格为1比特币=12122.92元，而且价格走势持续高涨，中美日三国比特币价格均已破万元。

怪不得黑客只要比特币不要人民币，小事对此只想说，打劫医疗系统跟还在上学的学生，你们良心喂狗了么？

面对这场突如其来的大规模电脑病毒侵袭，还没有什么好的解决办法。小事找到@黑客凯文 给出的一些防范措施，提供给大家。希望大家能够尽快备份自己电脑中的重要数据，避免受到此次病毒的冲击！

1、关闭445端口方法

请自行百度，因为不能发链接

2、微软补丁MS17-010

请自行百度，因为不能发链接

3、360“NSA武器库免疫工具”先拔网线再开机，确认360运转正常，office正常，

谁受到了攻击？

英国国家卫生服务局（NHS）受到攻击，一些手术被迫取消。一名NHS工作人员告诉BBC，在其中一些案例中，病人“几乎肯定会死亡”。

有报道说，俄罗斯的感染案例比其他任何一个国家都多。

一些西班牙公司，包括电信巨头Telefonica，电力公司Iberdrola和公用事业公司Gas Natural也遭受了攻击。有报道说，这些公司的工作人员被告知要关掉计算机。

葡萄牙电信公司、联邦快递公司、瑞典一个地区的政府，以及俄罗斯第二大移动运营商Megafon，也表示受到了攻击。

这个恶意软件的工作原理是怎样的？

一些安全研究人员指出，这次的感染似乎是通过一个蠕虫来部署的。蠕虫是一种程序，可以在计算机之间自我传播。

与许多其他恶意程序不同的是，这个程序只靠自己就能够在一个网络中移动传播。其他大多数恶意程序是依靠人类来传播的，也就是说，需要先有人去点击含有攻击代码的附件。

一旦WannaCry进入了一个组织机构的内部计算机网络，它就会找到一些脆弱的计算机并感染它们。这可能解释了为什么它的影响是如此巨大——因为每个受害的组织机构里都有大量的机器被感染。

2技术解剖

该勒索软件是一个名称为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

当系统被该勒索软件入侵后，弹出勒索对话框：

图1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”。

图 2 加密后的文件名

攻击者极其嚣张，号称“除攻击者外，就算老天爷来了也不能恢复这些文档” （该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件，“点击 按钮，就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示，“3天内付款正常，三天后翻倍，一周后不提供恢复”）。现实情况非常悲观，勒索软件的加密强度大，没有密钥的情况下，暴力破解需要极高的运算量，基本不可能成功解密。

图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

图 4 28种语言

该勒索软件会将自身复制到每个文件夹下，并重命名为“@[email protected]”。同时衍生大量语言配置等文件：

图5 衍生文件

该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头：

图6 加密文件

加密如下后缀名的文件：

复制代码

注：该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。

图7

3应急防护

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

3.1 Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

图8

2、选择启动防火墙，并点击确定

图9

3、点击高级设置

图10

4、点击入站规则，新建规则

图11

5、选择端口，下一步

图12

6、特定本地端口，输入445，下一步

图13

7、选择阻止连接，下一步

图14

8、配置文件，全选，下一步

图15

9、名称，可以任意输入，完成即可。

图16

3.2 XP系统的处理流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

图17

2、点击开始，运行，输入cmd，确定执行下面三条命令

net stop rdr

net stop srv

net stop netbt

复制代码

3、微软也破天荒的在宣布停止给XP系统打补丁之后，公布了唯一一个针对此病毒的补丁

4、由讯网云计算提供接入的宽带用户、手机用户无需担心此病毒，讯网已经在网络交换层面解决了此问题。

4小编结语

在过去几年间，类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞，系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降，类似Mirai等IoT僵尸网络开始成为注意力的焦点。这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在DEP、ASLR等方面的改善， 使一击必杀的系统漏洞确实在日趋减少，主流的攻击面也开始向应用开始转移。在这种表面上的平静之中，以窃密、预制为目的的APT攻击，则由于其是高度隐秘的、难以为IT资产的管理者感知到的攻击，始终未能得到足够的重视。而黑产犯罪的长尾化，针对性的特点，也使其并不依赖极为庞大的受害人群分布，即可获得稳定的黑色收益。因此在过去几年，内网安全风险是围绕高度隐蔽性和定向性展开的，这种风险难以感知的特点，导致内网安全未得到有效的投入和重视。也为导致今天的大规模安全灾难形成了必然基础。勒索软件的一大特点，是其威胁后果是直接可见的。这种极为惨烈的损失，昭示了内网安全的欠账。也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出安全图景，是一种“眼不见为净”式的自欺，无法通过攻击者的检验。

附NSA方程式泄露的漏洞对应的Windows版本：