在开始之前,小编想澄清一下,ms17-010并不是勒索病毒哈,不要被我的标题带偏,hh~~
1. ms17-010 永恒之蓝 (这个标题好像确实有点蓝)
在介绍WannaCry之外, 就不得不先来讲一下这个永恒之蓝了!!!
永恒之蓝(ms17-010)是利用445端口所开放的smb(共享文件服务) 从而反弹用户的shell
(这个反弹shell我后面再出一篇blog讲)
可以理解为获取到了别人的cmd(命令解释器)(这个漏洞基本上是每个网安人的入门必学了吧)
就是这玩意!! 当然了,他的攻击范围也就在win7 Xp(未打补丁),对于win10 11 是没有用的(所以就算你的本地开了445端口也不用怕哦)
2. WannaCry (这名字听起来还挺好听??)
讲完了永恒之蓝,就到了我们的主角WannaCry了,接下来我就按时间线来梳理一下
1.先是黑客团体Shadow Brokers,把永恒之蓝的漏洞泄露给了公众,但是!!!微软在当年三月就推出了相应的补丁,又但是!!!!!!当时很多人的网安意识薄弱,并没有打补丁
2.接着这个漏洞被黑客团队利用,制作成了WannaCry
该病毒可以分为两部分
1.蠕虫,其蠕虫部分代码在WinMain入口处设置Kill Switch生存开关(防止自身的代码特征被记录),然后就是在局域网和互联网进行传播(一传十,十传百....)
2.勒索,其会对你的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密,除非你支付比特币
这时候有人就肯定会问了:直接追踪收款方不就好了吗???
哈哈,一下就是这款病毒的另外一个魅力之处,他首先会检查你的计算机是否安装了TOR (这个我在之前的blog讲过),如果没有,他会帮你自动安装,然后支付的方式,就是通过洋葱路由,并进行bitcoin付款,(是不是很离谱)。。。
3.WannaCry所带来的危害
当时可谓壮观(after熊猫烧香),至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲(是不是就没得上电脑课了),受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
最后还是在2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。(不然后果真的不堪设想,毕竟这种0day的杀伤力才是最强的)
最后,这款病毒虽然在当下已经成为一代人所讨论的“小case”但是他的启示确实非常深刻的那就是
!!!记得打补丁,及时升级你的设备相信那些及时打了补丁的用户在当时可以说是长舒一口气吧
(下一篇blog我们来聊聊永不过时的攻击方式 —DDOS!!!)