全球遭受網(wǎng)絡勒索攻擊 騰訊安全反病毒實驗室揭秘“Wannacry”

北京時間12日晚間，全球范圍內(nèi)有近百個國家遭到大規(guī)模網(wǎng)絡攻擊，被攻擊者被要求支付比特幣解鎖。在中國，部分高校校園網(wǎng)爆發(fā)“WannaCry”勒索事件，致使大量學生電腦上的資料文檔被鎖，需要付費才能解鎖。據(jù)公開報道顯示，受到該“WannaCry”勒索的國家包括中國、英國、美國、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等。針對當前的勒索攻擊，騰訊安全反病毒實驗室第一時間跟進并給出了深度權(quán)威的分析?！　?/p>

　　(勒索彈窗)

　　據(jù)騰訊安全反病毒實驗室安全研究人員分析發(fā)現(xiàn)，此次勒索事件與以往相比最大的區(qū)別在于，勒索病毒結(jié)合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報道稱此次攻擊為“永恒之藍”?！　?/p>

　　據(jù)了解，MS17-010漏洞指的是攻擊者利用該漏洞，向用戶機器的445端口發(fā)送精心設計的網(wǎng)絡數(shù)據(jù)包文，實現(xiàn)遠程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學之間為了打局域網(wǎng)游戲，有時需要關(guān)閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因?！?/p>

　　(勒索病毒執(zhí)行后下載的壓縮包)

　　安全研究人員指出，勒索病毒被漏洞遠程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼“WNcry@2ol7”解密并釋放文件。這些文件包括了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，輔助攻擊的兩個exe文件以及含有各國語言的勒索字體。這些文件會釋放到本地目錄，并設置為隱藏。其中“u.wnry*”就是后續(xù)彈出的勒索窗口，而在窗口右上角的語言選擇框中，可以針對不同國家的用戶進行定制的展示，這些字體的信息也存在于之前資源文件釋放的壓縮包中?！?/p>

　　(以下后綴名的文件會被加密)

　　通過分析病毒，安全研究人員進一步發(fā)現(xiàn)，含有txt、doc、ppt、xls等后綴名類型的文件會被加密。以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過Windows Crypto API進行AES+RSA的組合加密，并且后綴名改為了“*.WNCRY”。此時如果點擊勒索界面的decrypt，會彈出解密的框，但只有受害者繳納贖金后，才可以解密。此外，安全研究人員還發(fā)現(xiàn)，不法分子是通過“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三個賬號隨機選取一個作為錢包地址，收取非法錢財。　

　　(圖片被加密)

　　騰訊安全反病毒實驗室安全研究人員表示，用Windows系統(tǒng)遠程漏洞進行傳播，是此次勒索軟件的一大特點，也是在高校爆發(fā)的根本原因，所以開啟防火墻是簡單直接的方法。具體操作步驟如下：

　　以Windows 7，通過圖例簡單介紹如何關(guān)閉445端口。

　　1、打開控制面板點擊“防火墻”;　

　　2、點擊“高級設置”;　　

　　3、先點擊“入站規(guī)則”，再點擊“新建規(guī)則”;　

　　4、勾中“端口”，點擊“協(xié)議與端口”;　

　　5、勾選“特定本地端口”，填寫445，點擊下一步;　

　　6、點擊“阻止鏈接”，一直下一步，并給規(guī)則命名后，就可以了?！　?/p>

　　(騰訊電腦管家修復漏洞圖)

　　此外，廣大用戶也可以通過升級微軟補丁來阻止攻擊。目前，騰訊電腦管家實時安全保護已兼顧漏洞防御和主動攔截，用戶可保持騰訊電腦管家開啟狀態(tài)來防范，并盡快使用“漏洞修復”功能進行掃描修復。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。