”NSA武器库-永恒之蓝“与“Wannacry蠕虫勒索软件”的双剑合璧-CSDN博客

5月12日起，大规模勒索病毒软件在全球蔓延，我国大量行业企业内网受到攻击，教育网受损严重，据悉，大量学校电脑感染勒索病毒，重要文件被加密。

这是不法分子利用NSA黑客武器库泄露的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件，远程控制木马、虚拟货币挖矿机等恶意程序。

一旦电脑感染了Wannacry病毒，受害者要高达300美元比特币的勒索金才可解锁。否则，电脑就无法使用，且文件会被一直封锁。

研究人员还发现了大规模恶意电子邮件传播，以每小时500封邮件的速度传播杰夫勒索软件，攻击世界各地的计算机。

大量国内高校中招，其他行业也受到影响

5月12日晚，国内有不少高校学生反映电脑被恶意的病毒攻击，文档被加密。

判定该勒索软件是一个名称为“WannaCry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

当系统被该勒索软件入侵后，弹出勒索对话框：

全球受攻击情况

仅仅几个小时内，该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招。且攻击仍在蔓延。

据报道，勒索攻击导致16家英国医院业务瘫痪，西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织， 11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。

来讲讲"ShadowBrokers方程式工具包"

去年八月份这个名叫Shadow Brokers的黑客组织横空出世，在网上放出据说是来自NSA的一波入侵工具——专家在研究过这些工具后认为，此系列工具隶属于NSA旗下的方程式组织。当时Shadow Brokers将工具打包成了2部分，其中一部分300MB提供免费下载，另外一部分加密文档则以100万比特币的价格出售。

四月份臭名昭著的方程式组织工具包再次被公开，TheShadowBrokers在steemit.com博客上提供了相关消息。据此，腾讯云鼎实验室对此进行了分析。本次被公开的工具包大小为117.9MB，包含23个黑客工具，其中部分文件显示NSA曾入侵中东SWIFT银行系统。

解密后的工具包：

经过初步梳理，重点关注对win server有影响的几个工具！

Explodingcan IIS漏洞利用工具,只对Windows 2003有影响
Eternalromance SMB 和 NBT漏洞利用工具，影响端口139和445
Emphasismine 通过IMAP漏洞攻击，攻击的默认端口为143
Englishmansdentist 通过SMTP漏洞攻击，默认端口25
Erraticgopher 通过RPC漏洞攻击，端口为445
Eskimoroll 通过kerberos漏洞进行攻击，默认攻击端口88
Eclipsedwing MS08-67漏洞利用工具
Educatedscholar MS09-050漏洞利用工具
Emeraldthread MB和 Netbios 漏洞利用工具，使用445端口和 139端口
Zippybeer SMTP漏洞利用工具，默认端口 445
Eternalsynergy SMB漏洞利用工具，默认端口 445
Esteemaudit RDP漏洞利用工具，默认攻击端口为3389

工具地址重申一次：https://github.com/x0rz/EQGRP

思科Talos团队深度解析“WannaCry”勒索软件

初始文件mssecsvc.exe会释放并执行tasksche.exe文件，然后检查kill switch域名。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址，并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时，将会建立联接并传输数据。我们认为这一网络流量是一种利用程序载荷。已有广泛报道指出，这一攻击正在利用最近被泄露的漏洞。Microsoft已在MS17-010公告中修复了此漏洞。我们当前尚未完全了解SMB流量，也未完全掌握这一攻击会在哪些条件下使用此方法进行传播。

tasksche.exe文件会检查硬盘，包括映射了盘符的网络共享文件夹和可移动存储设备，如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件，然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中，该恶意软件会生成一个新的文件目录“Tor/”，在其中释放tor.exe和九个供tor.exe使用的dll文件。此外，它还会释放两个额外的文件：taskdl.exe和taskse.exe。前者会删除临时文件，后者会启动@wanadecryptor@.exe，在桌面上向最终用户显示勒索声明。@wanadecryptor@.exe并不包含在勒索软件内，其自身也并非勒索软件，而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。

@wanadecryptor@.exe会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接，让WannaCry能够通过Tor网络代理发送其流量，从而保持匿名。

与其他勒索软件变种类似，该恶意软件也会删除受害人电脑上的任意卷影副本，以增加恢复难度。它通过使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。

WannaCry使用多种方法辅助其执行，它使用attrib.exe来修改+h标记（hide），同时使用icacls.exe来赋予所有用户完全访问权限（“icacls ./grant Everyone:F /T /C /Q”）。

该恶意软件被设计成一种模块化服务。我们注意到与该勒索软件相关的可执行文件由不同的攻击者编写，而非开发服务模块的人员编写。这意味着该恶意软件的结构可能被用于提供和运行不同的恶意载荷。

加密完成后，该恶意软件会显示以下勒索声明。这一勒索软件非常有趣的一点是，其勒索屏幕是一个可执行文件，而非图像、HTA文件或文本文件。

组织应该意识到，犯罪分子在收到勒索赎金后，并无义务提供解密秘钥。Talos强烈呼吁所有被攻击的人员尽可能避免支付赎金，因为支付赎金的举动无疑就是在直接资助这些恶意活动的壮大。

解决方案

该攻击涉及MS17-010漏洞，我们可以采用以下方案进行解决

漏洞名称：

Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)

包含如下CVE：

CVE-2017-0143 严重远程命令执行

CVE-2017-0144 严重远程命令执行

CVE-2017-0145 严重远程命令执行

CVE-2017-0146 严重远程命令执行

CVE-2017-0147 重要信息泄露

CVE-2017-0148 严重远程命令执行

漏洞描述：

SMBv1 server是其中的一个服务器协议组件。

Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。

远程攻击者可借助特制的数据包利用该漏洞执行任意代码。

以下版本受到影响：

Microsoft Windows Vista SP2

Windows Server 2008 SP2和R2 SP1

Windows 7 SP1

Windows 8.1

Windows Server 2012 Gold和R2

Windows RT 8.1

Windows 10 Gold

1511和1607

Windows Server 2016

解决方法：

1.防火墙屏蔽445端口

2.利用 Windows Update 进行系统更新

3.关闭 SMBv1 服务

3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于客户端操作系统：

打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。

重启系统。

3.2 对于服务器操作系统：

打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。

在“功能”窗口中，清除“SMB 1.0/CIFS

文件共享支持”复选框，然后单击“确定”以关闭此窗口。

重启系统。

3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注册表

注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建项︰ SMB1，值0（DWORD）

重新启动计算机

关于影响的操作系统范围和对应的补丁号码详情请见：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

勒索病毒中招尝试解决方案

方法一:

1:打开自己的那个勒索软件界面，点击copy. （复制黑客的比特币地址）

2:把copy粘贴到btc.com （区块链查询器）

3:在区块链查询器中找到黑客收款地址的交易记录，然后随意选择一个txid（交易哈希值）

4:把txid 复制粘贴给勒索软件界面按钮connect us.

5:等黑客看到后你再点击勒索软件上的check payment.

6:再点击decrypt 解密文件即可。

方法二:

下载开源的脚本(需要python3环境)来运行尝试恢复。

下载链接：https://github.com/QuantumLiu/antiBTCHack

解决方案转自FreeBuf