北京時(shí)間12日晚間���,全球范圍內(nèi)有近百個(gè)國(guó)家遭到大規(guī)模網(wǎng)絡(luò)攻擊�����,被攻擊者被要求支付比特幣解鎖����。在中國(guó)�,部分高校校園網(wǎng)爆發(fā)“WannaCry”勒索事件,致使大量學(xué)生電腦上的資料文檔被鎖�����,需要付費(fèi)才能解鎖�����。據(jù)公開(kāi)報(bào)道顯示����,受到該“WannaCry”勒索的國(guó)家包括中國(guó)、英國(guó)�、美國(guó)��、西班牙��、意大利���、葡萄牙、俄羅斯和烏克蘭等����。針對(duì)當(dāng)前的勒索攻擊,騰訊安全反病毒實(shí)驗(yàn)室第一時(shí)間跟進(jìn)并給出了深度權(quán)威的分析�����。
(勒索彈窗)
據(jù)騰訊安全反病毒實(shí)驗(yàn)室安全研究人員分析發(fā)現(xiàn)�����,此次勒索事件與以往相比最大的區(qū)別在于����,勒索病毒結(jié)合了蠕蟲(chóng)的方式進(jìn)行傳播����,傳播方式采用了前不久NSA被泄漏出來(lái)的MS17-010漏洞�����。在NSA泄漏的文件中��,WannaCry傳播方式的漏洞利用代碼被稱(chēng)為“EternalBlue”����,所以也有的報(bào)道稱(chēng)此次攻擊為“永恒之藍(lán)”���。
據(jù)了解�,MS17-010漏洞指的是攻擊者利用該漏洞�,向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文,實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行��。如果用戶電腦開(kāi)啟防火墻���,也會(huì)阻止電腦接收445端口的數(shù)據(jù)����。但是在中國(guó)高校內(nèi)�����,同學(xué)之間為了打局域網(wǎng)游戲,有時(shí)需要關(guān)閉防火墻���,這也是此次事件在中國(guó)高校內(nèi)大肆傳播的原因���。
(勒索病毒執(zhí)行后下載的壓縮包)
安全研究人員指出,勒索病毒被漏洞遠(yuǎn)程執(zhí)行后����,會(huì)從資源文件夾下釋放一個(gè)壓縮包,此壓縮包會(huì)在內(nèi)存中通過(guò)密碼“WNcry@2ol7”解密并釋放文件�����。這些文件包括了后續(xù)彈出勒索框的exe��,桌面背景圖片的bmp���,輔助攻擊的兩個(gè)exe文件以及含有各國(guó)語(yǔ)言的勒索字體。這些文件會(huì)釋放到本地目錄�����,并設(shè)置為隱藏��。其中“u.wnry*”就是后續(xù)彈出的勒索窗口,而在窗口右上角的語(yǔ)言選擇框中�����,可以針對(duì)不同國(guó)家的用戶進(jìn)行定制的展示���,這些字體的信息也存在于之前資源文件釋放的壓縮包中�����。
(以下后綴名的文件會(huì)被加密)
通過(guò)分析病毒���,安全研究人員進(jìn)一步發(fā)現(xiàn),含有txt�����、doc���、ppt����、xls等后綴名類(lèi)型的文件會(huì)被加密。以圖片為例�����,查看電腦中的圖片�,發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過(guò)Windows Crypto API進(jìn)行AES+RSA的組合加密,并且后綴名改為了“*.WNCRY”����。此時(shí)如果點(diǎn)擊勒索界面的decrypt,會(huì)彈出解密的框���,但只有受害者繳納贖金后��,才可以解密���。此外,安全研究人員還發(fā)現(xiàn)�����,不法分子是通過(guò)“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”���、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三個(gè)賬號(hào)隨機(jī)選取一個(gè)作為錢(qián)包地址,收取非法錢(qián)財(cái)�。
(圖片被加密)
騰訊安全反病毒實(shí)驗(yàn)室安全研究人員表示,用Windows系統(tǒng)遠(yuǎn)程漏洞進(jìn)行傳播�,是此次勒索軟件的一大特點(diǎn),也是在高校爆發(fā)的根本原因����,所以開(kāi)啟防火墻是簡(jiǎn)單直接的方法。具體操作步驟如下:
以Windows 7�����,通過(guò)圖例簡(jiǎn)單介紹如何關(guān)閉445端口���。
1�、打開(kāi)控制面板點(diǎn)擊“防火墻”;
2����、點(diǎn)擊“高級(jí)設(shè)置”;
3、先點(diǎn)擊“入站規(guī)則”����,再點(diǎn)擊“新建規(guī)則”;
4、勾中“端口”���,點(diǎn)擊“協(xié)議與端口”;
5���、勾選“特定本地端口”��,填寫(xiě)445�����,點(diǎn)擊下一步;
6���、點(diǎn)擊“阻止鏈接”,一直下一步�����,并給規(guī)則命名后���,就可以了�����。
(騰訊電腦管家修復(fù)漏洞圖)
此外����,廣大用戶也可以通過(guò)升級(jí)微軟補(bǔ)丁來(lái)阻止攻擊。目前���,騰訊電腦管家實(shí)時(shí)安全保護(hù)已兼顧漏洞防御和主動(dòng)攔截,用戶可保持騰訊電腦管家開(kāi)啟狀態(tài)來(lái)防范����,并盡快使用“漏洞修復(fù)”功能進(jìn)行掃描修復(fù)。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待�。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號(hào)