WannaCry
1、原理说明
1、病毒概述
又名Wanna Decryptor,它是蠕虫式病毒,它是通过MS17-010漏洞在全球范围内爆发,并短时间内感染大量的主机;该蠕虫感染了主机后,会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支持价值相当于300美元(约合2069人民币)的比特币才可以解锁;目前已经波及99个国家。
该病毒通过KillSwitch域名开关进行控制,当病毒可以正常访问该域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)时,病毒则终止其本身的运行和传播,不会对主机造成任何破坏。
2、病毒分析
mssecsvc.exe释放自身中的资源文件到C:/Windows/tasksche.exe, tasksche.exe本应该是勒索程序,但此变种的该程序在主流的windows操作系统上运行出错,从而没有进行勒索行为。
如果C:/Windows/tasksche.exe存在,mssecsvc.exe将其更名为C:/Windows/qeriuwjhrf,在重复感染的情况下,C:/Windows/qeriuwjhrf文件一般都存在。
如下图,中毒主机会存在异常进程“mssecsvc.exe”。
3、注册表信息
此勒索病毒变种添加了以下注册表:
HKLM/System/CurrentControlSet/Services/mssecsvc2.0
勒索病毒对应的服务启动项如下:
4、网络行为
通过抓包软件可以发现,感染病毒后访问了以下域名:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
该变种虽然会连接此KillSwitch域名,但是并不会因访问到该域名而终止运行。由于该变种病毒不再受KillSwitch影响,所以极可能会像当年的飞客蠕虫一样,感染量较大。
2、危害说明
1、被感染主机大量文件被加密,必须向攻击者支持赎金才可以解锁,但大部分即使支付了赎金也无法解锁。
2、影响范围大,该病毒为蠕虫病毒,具有自我复制、主动传播的功能,通过MS17-010漏洞进行传播,感染过程全无人工参与,而由2017年3月微软发布病毒,但大部分主机并未即使更新该补丁,因此即使主机什么都未做,只要开启了主机,都有可能被感染勒索病毒。
3、感染该病毒后,它不仅会传播内网主机,也会对互联网主机发起SMB17-010漏洞利用的攻击,存在违反网络安全法,遭致网信办、网安等监管单位的通报处罚的风险。
4、该病毒采用Tor暗网同远程服务器进行CC通信,隐藏了攻击者的行踪。
5、中毒主机极可能伴随着其它中毒症状,包括但不限于恶意软件、广告软件等。
3、处置建议
1、病毒取证
1、PC或服务器是否存在以下文件:
C:/Windows/mssecsvc.exe
C:/Windows/tasksche.exe
C:/Windows/qeriuwjhrf
存在表明该主机已中WannaCry勒索病毒
2、病毒处置
(1)打漏洞补丁
A.检查设备是否打了补丁
wannacry检测工具:http://edr.sangfor.com.cn/tool/WannaCryTool.zip
B.请到微软官网下载MS17-010补丁,并安装;
下载地址:
MSRC - Microsoft Security Response Center
注意:该步骤必须要做,如果主机不打补丁,即使病毒通过杀软清理之后,仍会被二次感染。
(2)隔离感染主机
已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
(3)切断感染源
关闭文件共享:控制面板>启动“Windows防火墙”>“高级选项”>“入站规则”>关闭SMB应用端口(135、137、139、445)。
(4)病毒查杀
推荐使用深信服EDR工具(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)进行分析并查杀(目前不少勒索病毒加密完会自行删除本体,杀软不一定能100%杀出病毒),上传样本到virustotal、微步在线等平台进行确认,看是否报样本为勒索病毒,截图取证。
virustotal
微步在线
484
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
