北京時間12日晚間���,全球范圍內(nèi)有近百個國家遭到大規(guī)模網(wǎng)絡(luò)攻擊�����,被攻擊者被要求支付比特幣解鎖�。在中國����,部分高校校園網(wǎng)爆發(fā)“WannaCry”勒索事件,致使大量學(xué)生電腦上的資料文檔被鎖��,需要付費才能解鎖���。據(jù)公開報道顯示,受到該“WannaCry”勒索的國家包括中國��、英國�����、美國、西班牙�、意大利、葡萄牙�����、俄羅斯和烏克蘭等���。針對當(dāng)前的勒索攻擊�����,騰訊安全反病毒實驗室第一時間跟進并給出了深度權(quán)威的分析�。
(勒索彈窗)
據(jù)騰訊安全反病毒實驗室安全研究人員分析發(fā)現(xiàn)���,此次勒索事件與以往相比最大的區(qū)別在于����,勒索病毒結(jié)合了蠕蟲的方式進行傳播����,傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中���,WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”�,所以也有的報道稱此次攻擊為“永恒之藍”。
據(jù)了解����,MS17-010漏洞指的是攻擊者利用該漏洞,向用戶機器的445端口發(fā)送精心設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)包文�,實現(xiàn)遠程代碼執(zhí)行。如果用戶電腦開啟防火墻����,也會阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)��,同學(xué)之間為了打局域網(wǎng)游戲��,有時需要關(guān)閉防火墻�����,這也是此次事件在中國高校內(nèi)大肆傳播的原因���。
(勒索病毒執(zhí)行后下載的壓縮包)
安全研究人員指出,勒索病毒被漏洞遠程執(zhí)行后�,會從資源文件夾下釋放一個壓縮包����,此壓縮包會在內(nèi)存中通過密碼“WNcry@2ol7”解密并釋放文件�����。這些文件包括了后續(xù)彈出勒索框的exe�����,桌面背景圖片的bmp��,輔助攻擊的兩個exe文件以及含有各國語言的勒索字體��。這些文件會釋放到本地目錄�,并設(shè)置為隱藏。其中“u.wnry*”就是后續(xù)彈出的勒索窗口�����,而在窗口右上角的語言選擇框中��,可以針對不同國家的用戶進行定制的展示����,這些字體的信息也存在于之前資源文件釋放的壓縮包中�����。
(以下后綴名的文件會被加密)
通過分析病毒����,安全研究人員進一步發(fā)現(xiàn)��,含有txt���、doc�����、ppt���、xls等后綴名類型的文件會被加密。以圖片為例�����,查看電腦中的圖片�,發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過Windows Crypto API進行AES+RSA的組合加密,并且后綴名改為了“*.WNCRY”�����。此時如果點擊勒索界面的decrypt����,會彈出解密的框,但只有受害者繳納贖金后����,才可以解密。此外�����,安全研究人員還發(fā)現(xiàn)�,不法分子是通過“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”�����、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三個賬號隨機選取一個作為錢包地址�,收取非法錢財。
(圖片被加密)
騰訊安全反病毒實驗室安全研究人員表示�����,用Windows系統(tǒng)遠程漏洞進行傳播,是此次勒索軟件的一大特點����,也是在高校爆發(fā)的根本原因,所以開啟防火墻是簡單直接的方法�。具體操作步驟如下:
以Windows 7,通過圖例簡單介紹如何關(guān)閉445端口�。
1、打開控制面板點擊“防火墻”;
2����、點擊“高級設(shè)置”;
3、先點擊“入站規(guī)則”�,再點擊“新建規(guī)則”;
4、勾中“端口”�,點擊“協(xié)議與端口”;
5、勾選“特定本地端口”���,填寫445���,點擊下一步;
6、點擊“阻止鏈接”����,一直下一步��,并給規(guī)則命名后,就可以了�����。
(騰訊電腦管家修復(fù)漏洞圖)
此外�����,廣大用戶也可以通過升級微軟補丁來阻止攻擊�。目前,騰訊電腦管家實時安全保護已兼顧漏洞防御和主動攔截�,用戶可保持騰訊電腦管家開啟狀態(tài)來防范,并盡快使用“漏洞修復(fù)”功能進行掃描修復(fù)�����。
京公網(wǎng)安備 11010502041587號