国内爆发新型勒索病毒wannacry(附解决方法)
北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……
该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞
MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。安天依托对“勒索软件”的分析和预判,不仅能够有效检测防
御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”
可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。事件分析该勒索软件是一个名称为“wannacry”的新家族,目
前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB 漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。当系统被该勒索软件入侵后,弹出勒索对话框:图1 勒索界面加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。图2 加密后的文件名
攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。图3 可解密数个文件该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。图4 28种语言
该勒索软件会将自身复制到每个文件夹下,并重命名为
“@WanaDecryptor@.exe”。并衍生大量语言配置等文件:
c:\Users\gxb\Desktop\@Please_Read_Me@.txt
c:\Users\gxb\Desktop\@WanaDecryptor@.exe
c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_ bulgarian.wnry
c:\Users\gxb\Desktop\msg\m_chinese (simplified).wnry c:\Users\gxb\Desktop\msg\m_chinese (traditional).wnry c:\Users\gxb\Desktop\msg\m_croatian.wnry
c:\Users\gxb\Desktop\msg\m_czech.wnry
c:\Users\gxb\Desktop\msg\m_danish.wnry
c:\Users\gxb\Desktop\msg\m_dutch.wnry
c:\Users\gxb\Desktop\msg\m_english.wnry
c:\Users\gxb\Desktop\msg\m_filipino.wnry
c:\Users\gxb\Desktop\msg\m_finnish.wnry
c:\Users\gxb\Desktop\msg\m_french.wnry
c:\Users\gxb\Desktop\msg\m_german.wnry
c:\Users\gxb\Desktop\msg\m_greek.wnry
c:\Users\gxb\Desktop\msg\m_indonesian.wnry
c:\Users\gxb\Desktop\msg\m_italian.wnry
c:\Users\gxb\Desktop\msg\m_japanese.wnry
c:\Users\gxb\Desktop\msg\m_korean.wnry
c:\Users\gxb\Desktop\msg\m_latvian.wnry
c:\Users\gxb\Desktop\msg\m_norwegian.wnry
c:\Users\gxb\Desktop\msg\m_polish.wnry
c:\Users\gxb\Desktop\msg\m_portuguese.wnry
c:\Users\gxb\Desktop\msg\m_romanian.wnry
c:\Users\gxb\Desktop\msg\m_russian.wnry
c:\Users\gxb\Desktop\msg\m_slovak.wnry
c:\Users\gxb\Desktop\msg\m_spanish.wnry
c:\Users\gxb\Desktop\msg\m_swedish.wnry
c:\Users\gxb\Desktop\msg\m_turkish.wnry
c:\Users\gxb\Desktop\msg\m_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe该勒索软件AES和RSA 加密算法,加密的文件以“WANACRY!”开头:加密如下后缀名的文
件:.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.E PS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB. https://www.doczj.com/doc/a213064617.html,.EXE.GAD
GET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG .DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HT M.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MS G.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED .KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE .7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX .BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TA X2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV. WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.S RT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.J PG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DE SKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CF G
最新勒索软件WannaCrypt病毒感染前后应对措施 针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办? 作者:simeon来源:https://www.doczj.com/doc/a213064617.html,|2017-05-14 23:03 收藏 分享 技术沙龙| 6月30日与多位专家探讨技术高速发展下如何应对运维新挑战! 【https://www.doczj.com/doc/a213064617.html,原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:https://www.doczj.com/doc/a213064617.html,/s/1boBiHNx 一.病毒危害 1.1病毒感染的条件 到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的: 1.Windows7以上操作系统感染几率较高 2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。 3.内网补丁更新不及时 1.2病毒感染的后果 WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:https://www.doczj.com/doc/a213064617.html,/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高 二、WannaCrypt勒索病毒原理分析 WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(https://www.doczj.com/doc/a213064617.html,/learning/detail/3853.html)。 笔者要想说的是病毒感染的三个时间段: 1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): https://www.doczj.com/doc/a213064617.html,; a)如果连接成功,则退出程序 b)连接失败则继续攻击 2.病毒感染中阶段 接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程 3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。
Cryptowall、locky、cerber等勒索病毒 的运行原理及预防杀毒普及贴 勒索病毒概述: 勒索病毒从2014年开始兴起,2015年开始逐步流行,到2016年已经开始波及全球了。黑客勒索的金额估计已经超过4亿。对企业公司造成了巨大损失。美国FBI悬赏300万缉拿比特币敲诈者”木马家族的作者名叫艾维盖尼耶米哈伊洛维奇波格契夫。 从2015年开始,国内陆续发现勒索病毒,到2015年底开始达到高峰,日中病毒数超千台。有很多企业局域网内电脑集体中毒,造成巨大损失。 由于被加密文件都是用的比较高级的加密算法,所以受害者除了付款买回,没有别的办法解密文件。 勒索病毒传播 黑客通过邮件、漏洞或者挂马网站,传播病毒。一但用户点击中毒,病毒便加密客户的文档,然后上传私钥,留下勒索信息,限期付款赎回,否则中毒者的文档将永远无法找回。
勒索病毒图解 1、关于病毒传播方式: 由于现在技术的发展,黑客也开始讲求分工合作。制作病毒跟传播病毒都开始由专门的人士负责,CERBER就是典型,根据最新的病毒样本分析,CERBER附带的一个.json格式的配置文件。通过研究这个文件,我们发现这种特别的勒索软件是可以定制的,黑客自己可以改变赎金的数额大小,定制特定的文件扩展列表,当然还有需要感染国家的黑名单。这表明CERBER本身就是为了卖给二手黑客贩子而设计,量身定制勒索需求服务的。 现在的病毒传播一般黑客都是外包给专门的病毒传播机构,一般通过邮件钓鱼、网站挂马和电脑漏洞传播。 2、关于加密算法: 现在的勒索病毒加密方式一般用的RSA算法和AES算法。 AES算法(英语:Advanced Encryption Standard简写),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB197,并在2002年5月26日成为有效的标准。2006年,高级加密标准已然成为对称密钥加密中最流行的算法之一。 RSA算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA 是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 理论上,这2种算法只要超过15位数就基本无法破解,而黑客一般用的是128位,用现在的电脑技术破解的话需要几十万年。这也是黑客之所以嚣张的底气。
勒索病毒防范方法 一、系统补丁更新 从官方下载适配自己电脑操作系统的MS17-010补丁~本压缩包中也会包含。在安装补丁过程中出现“此更新无法适配本系统”问题时~因为电脑操作系统未更新到SP3~请下载sp3补丁将操作系统更新到SP3~然后再更新MS17-010补丁。 二、端口关闭 1、关闭 445、135、137、138、139 端口~关闭网络共享也可以避免中招。方法如下: ,1,运行输入“dcomcnfg” ,2,在“计算机”选项右边~右键单击“我的电脑”~选择“属性”。 ,3,在出现的“我的电脑属性”对话框“默认属性”选项卡中~去掉“在此计算机上启用分布式COM”前的勾。 ,4,选择“默认协议”选项卡~选中“面向连接的TCP/IP”~单击“删除”按钮 2、关闭 135、137、138 端口 在网络邻居上点右键选属性~在新建好的连接上点右键选属性再选择网络选项卡~去掉 Microsoft 网络的文件和打印机共享~和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口 3、关闭 139 端口 139 端口是 NetBIOS Session 端口~用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性~进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的NETBIOS ”~打勾就可关闭 139 端口。
4、关闭 445 端口 ,1,注册表关闭。开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ NetBT\Parameters~新建名为“SMBDeviceEnabled”的DWORD值~并将其设置为 0~则可关闭 445 端口。 ,2,关闭Server服务。检查系统是否开启Server服务: 按“WIN+R”键~打开运行窗口, 输入”services.msc”~回车, 查找service~查看service服务状态~如果开启~请右击属性选择关闭。 ,3,手动关闭445端口。打开开始按钮~点击运行~输入cmd~点击确定,输入命令:netstat -an 回车,查看结果中是否还有445端口,依次输入下面命令:net stop rdr 回车,net stop srv 回车,net stop netbt 回车,再次输入 netstat -ano~成功关闭 445 端口。如果还不有445显示~需要重启电脑就好了。 ,4,配置主机级 ACL 策略封堵 445 端口。通过组策略 IP 安全策略限制Windows 网络共享协议相关端口 开始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器 在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略下,在编辑器右边空白处鼠标右键单击,选择“创建IP 安全策略”
企业防勒索病毒安全解决方案 一、方案应用背景 勒索病毒是指:黑客通过锁屏、加密文件等方式劫持用户文件数据,并敲诈用户钱财的恶意软件,利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。自2017年5月WannaCry勒索病毒爆发以来,在短时间内大范围传播,给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称,仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一,WannaCry勒索病毒爆发时仅一天时间,国内有近3W机构被攻击,覆盖至全国各地,其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。 时隔一年后的2018年,勒索病毒威胁犹存。据相关机构统计,Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族,传播量占到上半年勒索病毒传播总量的90%以上。今年七月,针对Windows 服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击,病毒会将计算机中的数据库文件进行加密,同时还具备二次传播能力,有可能入侵局域网内的其他机器。专家预测,由于利润丰厚、追踪困难等原因,未来各种勒索软件的攻击将会更为频繁,杀伤力也更大。
二、方案应对方法 针对持续爆发的勒索病毒,应当通过构建起从事前到事后全周期、全方位的安全防护体系,帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。 在事前,从传播、加密、扩散三条路径对勒索病毒进行监测,并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测,对未知威胁,采用沙箱检测方式,检测涵盖已知未知高级威胁,检测结果以预警方式发布,建立未知威胁预警体系。 勒索病毒有以下传播方式: 1、通过邮件附件进行传播; 2、通过钓鱼邮件进行群发下载URL传播; 3、企业用户在恶意站点下载病毒文件进行传播;
关于应对勒索病毒相关事宜的紧急通知 各研究所、中心、室、厂、站、队、机关及各直属部门: 5月12日晚开始,在国内外网络中陆续出现针对windows 操作系统的勒索病毒,该病毒基于网络途径传播,对计算机文件进行加密破坏,部分服务器和个人计算机收到攻击,部分系统目前不能正常使用。根据** 公司和局信息管理部要求,关闭办公网络及相关服务器,对于各办公室机器,具体安排如下:一、对于未中毒的设备 1、断网。 2、关闭445 端口。(具体操作见附件) 3、按照windows 版本运行相应的补丁。 4、安装NAS免疫工具。 5、使用查杀工具杀毒。 二、对于中毒的设备 1、断网、登记。 2、原则上全盘格式化,重新安装操作系统。 3、关闭445 端口。(具体操作见附件) 4、按照windows 版本运行相应的补丁。(以分发至各所) 5、安装NAS免疫工具。 注:补丁、免疫工具及查杀工具已分发至各所
技术支持电话:7805870
注意:实施之前请拔掉网线。进行如下两步操作:1、关闭445端口,2、打补丁 关闭445端口流程 一、单击开始”一一运行”,输入“regedit ”,单击确定”按钮,打开注册表。 、找到注册表项 HKEY_LOCAL_MACHINE \System\Curre ntCo ntrolSet\Services\NetBT\Parame o ters
paiqeu3eo!Aaag|/\IS… adOMQ # '同 侑》莹邂帥(7)>S C3)g$? 宿)扫苴 ■ (5)18 SMS? ■ ? ㈢則宙捷去翌 (3)串右 讯)曰塞母古金 0)a}QyOMa ⑻g :題 ⑺劇H (5?s&± …0烘蔓 h 的冋 [ 1 9^ ° a IKldOMQ … —— “iOg 仲寅韜孚顶 a sjejaiiiejed… t? '三 501 fl w rn '* Axojdorj rn * “柄补n 由 测裁o + icfeism rj !+ SICBM O 卡 【IP “声w n > 【姮】归;中阻? L + 5w rj 匡 5Ct|qW55LU 厂 + WbdSW 1+ SDcro 却 n :+ S sacejjaim | TTS — mt 电:押i —- umug W\ - 193?N LI
新型勒索病毒的整体安全检测防护解决方案 一.事件概况 ●行业内网爆发勒索病毒变种 今年2月份起,医院、政府等行业爆发大规模信息勒索病毒感染事件,包括GandCrab V5.2、Globelmposter V3.0等,受影响的系统和数据库文件被加密勒索。黑客主要是通过钓鱼邮件、漏洞利用、恶意程序捆绑等方式进入内部网络,之后通过SMB漏洞攻击、RDP(windows系统远程桌面协议)口令爆破等形式大规模感染整个网络,导致终端、业务系统、数据库等被加密勒索,全国大部分省份相关单位都受到影响。 ●新型变种Globelmposter V3.0 Globelmposter勒索病毒的安全威胁热度一直居高不下。本次爆发的Globelmposter V3.0勒索病毒变种攻击手法非常丰富,可以通过社会工程、RDP爆破、恶意软件捆绑等方式进行传播其加密文件为*4444扩展名,采用RSA2048算法加密文件,目前该病毒样本加密的文件暂无解密工具,在被加密的目录下生成HOW_TO_BACK_FILES的txt文件,显示受害者的个人ID 序列号及黑客的联系方式等。 ●新型变种GandCrab V5.2 GandCrab 勒索病毒变种可绕过杀毒软件的检测,通过永恒之蓝MS17-010漏洞、共享文件服务、远程桌面服务(RDP)弱口令等方式在内网进行传播,随机生成后缀名对系统重要数据和文件进行加密,目前暂无加密工具 二.由勒索病毒反思网络安全建设 勒索病毒并非APT攻击,仅仅是病毒攻击行为,并不是不可防御的。并且,微软在17年就已经发布了SMB 相关漏洞的补丁,用户有足够的时间做好预防工作,为什么还有大量用户受影响?并且其中还包括一些行业的与互联网隔离的专网,除了在口令安全、高风险端口禁止对外开放等方面的安全意识需要提升之外,主要的原因还有以下几点: 1)大量用户缺乏全过程保护的安全体系 这起事件并非APT攻击或0DAY攻击,大部分用户的安全建设仅仅是在事中堆叠防御设备,缺乏事前风险预知的能力,使其没有提前部署好安全防护手段;在威胁爆发后,又没有持续检测和响应的能力,使得这些客户在事件爆发前没有预防手段、爆发中没有防御措施、爆发后没有及时检测和解决问题的办法。 2)忽视了内部局域网、专网和数据中心的安全防护 经过这段时间的响应,我们发现很多客户的威胁是与互联网相对隔离的内部网络中泛滥。比如专网、内网、数据中心,这些区域过去被用户认为是相对安全的区域,很多客户在这些区域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很多,比如U盘等存储介质、比如社会工程学,再或者是与DMZ间接相连的网络都可能成为来源。 3)过于复杂的安全体系,没有发挥应有作用
医院大数据安全分析与勒索病毒防护方案
目录 Contents 01医院信息安全现状 02大数据安全分析 03勒索病毒防护 04用户案例
01医院信息安全现状
内蒙古 新疆 甘肃四川 辽宁 陕西河南湖南 山西北京河北山东 江苏 浙江 上海广东 湖北重庆江西 福建 吉林黑龙江 西藏 安徽 金融, 4% 教育, 7% 制造业, 7% 政府机构, 7% 医疗, 25% 对外贸易, 11% 工业企业, 17% 互联网, 16% 其他, 6% 地域分布 行业分布 2019以来全国勒索攻击态势 云南 贵州 广西 青海
由于部分医院信息系统存在安全风险,勒索病毒受利益驱使,依然是危害医院的主要安全风险之一。自去年7月以来,勒索病毒一直处于持续活跃的状态,其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。 ... ... 其中,被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之,以及停止更新的Windows XP。对此报告指出,当前没有及时更新操作系统的医疗机构仍占有一定的比例,这极有可能会为医疗业务带来极大的安全隐患。
以十二生肖作为后缀,“狗”生肖尚未出现 GlobeImposter 勒索病毒家族:2017年出现,2018年8月 份演进为V3.0版本。整体特点如下: 加密方法:采用RSA 和AES 两种加密算法的结合。----无法破解!主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用!解密办法:暂无公开的破解方法。V3.0版本特点如下: 1、将加密文件的后缀改成动物名称+4444的样子。 2、当加密完成后,除了清除远程桌面登录信息,还添加了自删除的功能,让追溯分析难度更高。 为什么勒索病毒总是攻击医院? 成本低、来钱快!
勒索病毒解决方案 一、勒索病毒简介 最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家的Windows电脑受创最重。 和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单纯地攻击电脑的软硬件)而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。 黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。 支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。 病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本,好让全世界每一个中了病毒的人都能看懂付款信息,可见野心之大。 而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿” 程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。 电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。 遇到这种加密级别,目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染,加密了自己电脑上的文件,自己是无论如何没办法把文件解密的。如果是政府或者公共机构的重要文件被加密,那只能恢复备份文件。 值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放”。大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。 如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。 病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。 二、服务器紧急防范措施 1.立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器, 一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微软 已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此 补丁,网址为 https://https://www.doczj.com/doc/a213064617.html,/zh-cn/library/security/MS17-010;对于 XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用 360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端 口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址 https://www.doczj.com/doc/a213064617.html,/nsa/nsatool.exe。 2.一旦发现电脑中毒,立即断网。 3.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁
美创科技 防勒索解决方案 年初勒索病毒爆发事件,再一次拉起了“防勒索”的警报,美创顺势推出了“诺亚”防勒索系统,向勒索病毒坚决“宣战”! 在以往的黑客攻击案例中,攻击目标主要集中于加密文档、图片等个人数据,但“贪得无厌”的黑客,逐渐将攻击目标转移到了企业,除了常见的企业终端(ATM机、自助加油机等)、业务文档等攻击目标,针对数据库的勒索病毒也开始“大行其道”,成为近来勒索病毒目标的延伸。 美创科技通过对勒索病毒的分析,结合多年数据安全经验积累,推出了防勒索整体解决方案,从文档防勒索、哑终端防勒索、数据中心防勒索、底线防御等多角度构筑安全防线。 l文档防勒索 采用白名单机制,将文档限定为只能由某个应用或者特定的应用修改。在识别应用的特征上,美创“诺亚”防勒索系统采用了多种方式来限定合规程序,包括程序名、程序签名以及安全标签(哈希值)等等,从而防止仿冒程序鱼目混珠。 同样,对于数据库文件,通过“诺亚”防勒索系统,客户可以指定或限定访问数据库文件的数据库程序,并进一步防止其他的数据库程序对数据库文件进行修改。例如,勒索病毒可能会修改数据库文件的后缀名,再利用加密机制进行加密,此时“诺亚”防勒索系统会记录相应行为并进行实时对比,判断进程的真实性,并根据策略进行阻断或放行。
l哑终端防勒索 自助服务终端目前已经成为勒索病毒攻击的主要目标,绝大多数运行微软Windows系统的自助服务终端很少进行更新重启关机等操作。由于微软不再发布支持该系统的补丁更新,因此大量设备都处于缺乏终端防护措施的情况下,一旦被勒索病毒入侵,很容易危及全网,影响巨大。“诺亚”防勒索系统针对自助服务终端独创了堡垒安全模式,在这种模式下,非白名单中的程序都无法运行,会被立刻阻断。 l数据中心防勒索 针对数据中心,美创提供由内而外层层整体防御解决方案,即从文档类型的防御、特定终端的防御、到业务系统层面的整体防御策略。 前面已经从“防勒索”角度,梳理了办公文件、数据库文件、哑终端的防勒索措施。 这里重点提数据库本身,美创数据库防水坝从“内控”入手。数据库防水坝将数据进行分级分类,定义不同的资产集合,同时对管理人员进行三权分立,落实最小权限原则。在企业内部DBA和第三方维护人员在接入数据库时,数据库防水坝系统针对接入数据库的身份进行验证(除账号密码之外,还能够控制时间、终端、IP、数字证书等多因子条件),并对其数据库操作行为进行管控。通过防水坝设定的安全策略,能够设定细致的数据操作权限,对企业数据进行分级分类管理,定义不同的资产集合,实现精细化的访问控制策略。同时,对业务系统层面的访问执行白名单机制管理,重要的数据库表格只允许业务系统进行访问。 l底线防御
比特币病毒、想哭病毒WannaCry(又叫WannaDecryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。 该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。 2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。 目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。 病毒概况 2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警。 当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。 WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解
2017年勒索病毒网络安全分析报告 2017年5月
目录 一、勒索蠕虫软件袭击网络 (6) 1、国内2.8万家机构被攻陷苏浙粤较严重 (6) 2、黑客利用windows漏洞 (7) 3、中毒后只有“认输”别无它法 (7) 4、与传统黑客不同以比特币为赎 (8) 5、打安全补丁预防勒索软件攻击 (9) 6、国内网络安全厂商提出方案 (9) 二、初始病毒已被阻止WannaCry 2.0已出现 (11) 1、初始病毒“自杀开关”被发现 (11) 2、WannaCry 2.0传播速度更快 (12) 三、网络安全事件频发 (12) 1、维基解密:CIA可入侵用户各种电子设备甚至汽车 (12) 2、涉及美国军方、企业等上千万条员工信息的数据库泄露 (13) 3、美国空军数千份高度机密文件被泄,备份服务器竟无秘钥 (13) 4、上百万已被破解的谷歌Gmail 和雅虎账户在暗网低价出售 (14) 5、黑客在暗网出售中国10亿账户数据:主要来自腾讯、网易、新浪等 (14) 四、网络安全行业增长驱动因素 (15) 1、政策驱动网络安全下游需求 (15) 2、2017年党政机关需求带动 (16) 3、安全事故超预期实际需求超预期 (16) 4、技术更新驱动需求和创投并购 (17) (1)2017前2月已有5家AI网络安全企业被收购 (17) (2)防止未知威胁的Invincea被Sophos收购 (17) (3)UEBA技术的被惠普收购 (18) (4)关键IP用户行为分析的Harvest.ai日被亚马逊收购 (19) (5)值得关注的人工智能与网络安全公司 (20)
五、重新认识网络安全 (21) 1、事件驱动网络安全下一轮繁荣 (21) 2、内外网分开不再安全 (22)
关于应对勒索病毒爆发的紧急通知 5月12号,全球爆发最大规模的勒索病毒网络攻击,攻击者锁定受害者电脑文档,致使受害者必须向攻击者支付费用方可解锁。 为避免病毒感染扩大,保障您的文件安全,信息中心建议用户立即按以下5点安全措施进行操作: 1.请立即拔掉网线,尽快完成第2步操作后,再接上网线进行后续操作;同时,告知您周围未开机的同事,拔掉网线,再按下面步骤操作。 2.开启系统防火墙,控制面板-Windows防火墙-点击“启用Windows防火墙”并勾选下面两个复选框,参见下图设置。 3.更新windows系统补丁 查看windows系统版本,可右键点击“我的电脑”-“属性”查看系统版本,点击对应补丁下载地址,下载后双击运行,按照提示完成安装后务必重启电脑; Winxp sp3 x86补丁下载地址:
https://https://www.doczj.com/doc/a213064617.html,/download/4/1/B/41B4AFF6-C3BC -48E6-9A99-4C483BD098D5/WindowsXP-KB4012598-x86-Embedded-Cu stom-CHS.exe Windows 7 sp1 x64 补丁下载地址: https://www.doczj.com/doc/a213064617.html,/d/msdownload/update/softw are/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4 bac44219e7169812914df3f.msu Win8 x64补丁下载地址: https://www.doczj.com/doc/a213064617.html,/c/msdownload/update/softw are/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844 ed793e0f2be974148520349.msu Win10 x64补丁下载地址: https://www.doczj.com/doc/a213064617.html,/c/msdownload/update/softw are/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb51 2b7a3a51dd0d30592ab02f08.msu 微软补丁信息,可参考: https://https://www.doczj.com/doc/a213064617.html,/zh-cn/library/security/ms17-0 10.aspx 4.请注意定期备份重要数据到移动硬盘。 5.若发现电脑感染了勒索病毒,请立即拔掉网线,并报告当地信息工程部。
从2017年问世至此,勒索病毒一直都在我们身边,对于很多电脑小白来说,中了勒索病毒就基本玩完。不要慌,小编今天就教授大家中了勒索病毒应该怎么办。 1、梳理资产,确认灾情 制定一个表格,确认好哪些资产是被勒索病毒感染,哪些目前还比较安全,哪些是服务器,哪些是PC机等等。一共有多少台主机中招,多少台是服务器,多少台是终端。所中勒索病毒,是否为同一种? 2、保留现场,断开网络 根据灾情状况,第一时间将所有中招主机进行网络隔离,建议采取物理隔离
方式如拔网线,这样可以防止进一步扩散,造成二次伤害。 中招主机隔离后,建议保留现场,不要破坏环境或者格式化系统,除非不需要做溯源取证和入侵原因分析,不然会给后续做防御加固、解密恢复带来困难。 3、确认诉求,聚焦重点 确认诉求,是勒索病毒应急响应的核心。 首先,受害者企业必须知道自己的核心诉求是什么,其次应急响应人员必须根据核心诉求,按照紧急程度依次开展工作。 4、样本提取,数据收集 提取系统日志:将C:\Windows\System32\winevt\Logs目录拷贝一份到桌面,然后在桌面上将其压缩为以中招主机命名的压缩包。提取加密文件:选取若干文件较小的被加密文件,留作后面解密尝试,以及用于判断勒索病毒家族。 4.1 判断病毒文件是否还在加密
使用everything文件检索工具,搜索被加密文件,比如文件加密后缀为“Ares666”,那么就搜索“*.Ares666”,按修改时间排序,观察是否有新的被加密文件。 4.2 判断病毒文件是否在本机 观察是否只有部分文件夹被加密,由于勒索病毒一般都是全盘加密的,除了排除几个系统文件夹比如“Windows”等以保证系统正常运行外,对于其他文件夹都是无差别加密,看是否都为共享就可确认。 4.3 收集系统日志文件 Windows系统日志目录为“C:\Windows\System32\winevt\Logs”,整个打包出来就行了,原始文件可能会比较大,压缩后会小很多。 4.4 采集家族信息 被加密的文件不是样本,只需要把完整的加密后缀、勒索文本/弹窗一起保存或截图反馈即可,请注意截图一定要完整和清晰。 4.5 查找病毒文件 勒索病毒文件通常都比较新,可以使用everything搜索“*.exe”,按修改时间(或创建时间)排序。 通过目录和文件名猜测可能的病毒文件,总之,就是看起来“不太正常”的exe文件。 5、判断家族,尝试解密 目前来说,国外这两个网站有相关服务。
服务器及其内部网络操作指引 致网络管理员 一.序言 本操作指引分为三个步骤展开: 1、隔离受感染主机 2、切断传染途径 3、修复系统隐患 二.隔离受感染服务器主机 如果发现已经有主机被感染,立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认,请优先按照下述第三点和第四点处理。 判断方法:出现下述界面的主机
操作方法: 全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。影响及可能的问题: 业务系统无法对外访问 三.切断病毒传播路径 1、切断内网传播途径 方法: 内网交换机上配置访问控制策略,禁止内网之间的135、137、139、445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。
针对无线网络也需要进行隔离,具体方法建议根据无线产品特性确认方案;我司建议先临时关闭无线访问,待全部终端电脑修复完毕后再开启无线。 影响及可能的问题: 1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。 2)445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法 对外系统服务。例如:打印机、共享文件夹等应用。 2、切断外网传播途径 方法: 下述两种方法根据贵司实际情况选择一种最快的方式执行即可。 1)安全网关设备开启对应防护规则 应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。 2)安全网关通过限制访问端口进行防护 如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。 四.修复或规避系统漏洞方案
构建医院大数据安全分析与勒索病毒防御 汇报人:刘洋通 —广西预防医学会卫生健康信息技术专业委员会2019年度大会暨学术交流会
01医院信息安全现状
西藏安徽 金融, 4% 教育, 7% 制造业, 7% 政府机构, 7% 医疗, 25% 对外贸易, 11% 工业企业, 17% 互联网, 16% 其他, 6% 地域分布行业分布2019以来全国勒索攻击态势 云南贵州 广西 青海
目 录 Contents 01医院信息安全现状 02大数据安全分析 03勒索病毒防护 04勒索病毒实战
由于部分医院信息系统存在安全风险,勒索病毒受利益驱使,依然是危害医院的主要安全风险之一。自去年7月以来,勒索病毒一直处于持续活跃的状态,其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。 ... ... 其中,被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之,以及停止更新的Windows XP。对此报告指出,当前没有及时更新操作系统的医疗机构仍占有一定的比例,这极有可能会为医疗业务带来极大的安全隐患。
以十二生肖作为后缀,“狗”生肖尚未出现 GlobeImposter勒索病毒家族: 2017年出现,2018年8月 份演进为V3.0版本。整体特点如下: 加密方法:采用RSA和AES两种加密算法的结合。----无法破解!主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用!解密办法:暂无公开的破解方法。 V3.0版本特点如下: 1、将加密文件的后缀改成 动物名称+4444的样子。 2、当加密完成后,除了清除远程桌面登录信息,还添加了自删除的功能,让追溯分析难度更高。 为什么勒索病毒总是攻击医院? 成本低、来钱快!
“勒索病毒”深度分析报告 火绒博锐(北京)科技有限公司
目录 1.概述 (3) 2.病毒的传播 (4) 3.预防和查杀 (5) 4.案例分析 (5) 附录 (9)
1. 概述 纵观2015年各家安全厂商的报告,“勒索病毒”频繁被提及。从2013年下半年的CryptoLocker 病毒, 到最近活跃的Tescrypt 病毒。“勒索病毒”正在快速迭代并迅速传播,随着互联网的发展和成熟,病毒的地域化差距被拉近,“外来”病毒在国内产生的安全事件日渐频仍。 “勒索病毒”的泛滥,主要基于以下几点原因: 1) 从用户角度上来说,数据的价值越来越重要,“勒索病毒”可以直击用户痛点,相比其他病毒有更加暴力的“盈利”方式; 2) 从病毒制造者角度来看,高强度加密算法随手可得,病毒编写门槛极低; 3) 病毒产业的黑色“生态链”完善,勒索事件频发的背后,依靠的都一套完整的原 始病毒制造、病毒批量变形、病毒传播、最终变现的黑色“生态链”。随着病毒制造门槛的降低、代码变形和混淆技术的成熟、病毒传播手段的丰富、变现模式的“优化” (例如:虚拟货币的出现),此类安全问题仍会持续上演。 图1、病毒产业的黑色“生态链” 原始病毒制造病毒批量变形(通过病毒混淆器) 病毒传播 变现(流量劫持、勒索等)
2.病毒的传播 病毒制造者通过病毒混淆器(Obfuscator)[1],在云端服务器批量生成病毒的不同变种,并通过以下手段进行传播: 1)漏洞类传播 a.通过操作系统、浏览器或其第三方应用程序的漏洞进行传播并激 活; 2)诱骗类传播 a.伪装成流行应用或者与其他恶意软件捆绑打包,欺骗用户运行激活 病毒; b.通过聊天软件发送,并有针对性地通过诱导性的文件名诱骗接收者 运行激活病毒; c.通过电子邮件群发带有病毒附件的垃圾邮件,并配以诱导性的说明 和附件名,诱骗接收者运行激活病毒; 图2、病毒的生成和传播
标题1:服务器中了勒索病毒后——必看八步骤! 标题2:服务器中招“勒索病毒”后的应急处理方法! 勒索病毒是现在的主流病毒,席卷全球,给全球各大小政企业都带来了巨大的损失。勒索病毒重点在于防,但是黑客无孔不入,再强大的系统都有可能存在漏洞,那已经中了勒索病毒,那该怎么办呢? 最直接的办法就是把中毒的机器进行隔离,断网处理,然后等待专业的安全服务人员上门进行处理,针对一般的勒索病毒应急处理方法,如下: 第一、断网处理,防止勒索病毒内网传播感染,造成更大的损失。 第二、查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本。 第三、确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密。如果是比较老的勒索病毒,可以24小时以内安装360勒索病毒清理软件,看看能不能匹配到加密密钥(360官网可以去找找软件)。 第四、进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞。 第五、衡量电脑或者服务器资料的重要性,如果不重要,可全盘格式化再重装系统。如果资料非常重要,目前没有技术可以破解,数据恢复的可能性较小。 第六、支付比特币。(不建议,也不好操作。因为有很多人交了赎金后发现对方不守信还是没给数据,或者给的数据不可用或者不完整。而且这类事件并不受国家法律保护!) 第七、做好相应的安全防护工作,以防再次感染。找本地专业一点的网络安全供应商帮助你规划网络安全。评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性。 第八、提醒大家数据千万条,备份第一条,在企业数据还没出现问题之前,一定一定要及时把想备份的内容做个备份!现在ucache灾备云平台有个《灾备云免费普及计划》,已经用过了还不错,功能强大、操作简单、可以同时把服务器里的操作系统、虚拟化/云平台架构、支持各类数据库及应用文件、NAS的时实备份与自动恢复。 重要的是ucache灾备云备份的速度也是非常的快,几百GB的数据,很快就全部备份完了,而且后期也设备了自动增量备份,不占用云端授权容量。ucache灾备云数据备份推荐大家使用。
国内爆发新型勒索病毒wannacry(附解决方法) 北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校…… 该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞 MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。安天依托对“勒索软件”的分析和预判,不仅能够有效检测防 御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件” 可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。事件分析该勒索软件是一个名称为“wannacry”的新家族,目
前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB 漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。当系统被该勒索软件入侵后,弹出勒索对话框:图1 勒索界面加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。图2 加密后的文件名 攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。图3 可解密数个文件该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。图4 28种语言 该勒索软件会将自身复制到每个文件夹下,并重命名为 “@WanaDecryptor@.exe”。并衍生大量语言配置等文件: