学院主站
首页 >> 网络安全 >> 安全知识 >> 正文

WannaCry

发布时间:2019-09-26       作者:深信服      来源:        点击量:

1、原理说明

1、病毒概述

又名Wanna Decryptor,它是蠕虫式病毒,它是通过MS17-010漏洞在全球范围内爆发,并短时间内感染大量的主机;该蠕虫感染了主机后,会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支持价值相当于300美元(约合2069人民币)的比特币才可以解锁;目前已经波及99个国家。
该病毒通过KillSwitch域名开关进行控制,当病毒可以正常访问该域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)时,病毒则终止其本身的运行和传播,不会对主机造成任何破坏。



2、病毒分析

mssecsvc.exe释放自身中的资源文件到C:/Windows asksche.exe, tasksche.exe本应该是勒索程序,但此变种的该程序在主流的windows操作系统上运行出错,从而没有进行勒索行为。
如果C:/Windows asksche.exe存在,mssecsvc.exe将其更名为C:/Windows/qeriuwjhrf,在重复感染的情况下,C:/Windows/qeriuwjhrf文件一般都存在。
如下图,中毒主机会存在异常进程“mssecsvc.exe”。

3、注册表信息

此勒索病毒变种添加了以下注册表:
HKLM/System/CurrentControlSet/Services/mssecsvc2.0






勒索病毒对应的服务启动项如下:


4、网络行为

通过抓包软件可以发现,感染病毒后访问了以下域名:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com



该变种虽然会连接此KillSwitch域名,但是并不会因访问到该域名而终止运行。由于该变种病毒不再受KillSwitch影响,所以极可能会像当年的飞客蠕虫一样,感染量较大。

2、危害说明

1、被感染主机大量文件被加密,必须向攻击者支持赎金才可以解锁,但大部分即使支付了赎金也无法解锁。
2、影响范围大,该病毒为蠕虫病毒,具有自我复制、主动传播的功能,通过MS17-010漏洞进行传播,感染过程全无人工参与,而由2017年3月微软发布病毒,但大部分主机并未即使更新该补丁,因此即使主机什么都未做,只要开启了主机,都有可能被感染勒索病毒。
3、感染该病毒后,它不仅会传播内网主机,也会对互联网主机发起SMB17-010漏洞利用的攻击,存在违反网络安全法,遭致网信办、网安等监管单位的通报处罚的风险。
4、该病毒采用Tor暗网同远程服务器进行CC通信,隐藏了攻击者的行踪。
5、中毒主机极可能伴随着其它中毒症状,包括但不限于恶意软件、广告软件等。

3、处置建议

1、问题回答

(1)怎么部署了安全设备或终端杀毒软件,还是中勒索病毒?
根据目前深信服安全服务团队接到的勒索病毒事件的处置情况来看,约95%的服务器勒索病毒事件是因为开放了3389端口导致,黑客通过暴力破解服务器登录密码,远程登录到服务器,之后植入勒索病毒;网络安全设备对3389的暴力破解只能抑制不能封堵,而杀毒软件也会被黑客登陆服务器后手动关闭,因此勒索病毒是难以防护的,我们应该更多的去做好预防和检测响应措施。具体的中毒原因还有永恒之蓝/445smb服务或其他漏洞利用,具体原因还需要分析服务器安全日志来确定。

(2)不是所有的病毒,都可以通过杀毒软件能够查杀出来
不是所有的病毒,都可以通过杀毒软件能够查杀出来,比如0day漏洞,大部分杀软都是通过指纹检测,但通过指纹录入,毕竟不能录入所有的病毒指纹,就可能导致存在部分病毒查杀不出来的问题,我们下面提供的查杀软件,是目前推荐最佳的处理方式,如果出现病毒查杀不出来的情况,请联系我们的安服人员。

2、病毒取证

1、PC或服务器是否存在以下文件:
C:/Windows/mssecsvc.exe
C:/Windows/tasksche.exe
C:/Windows/qeriuwjhrf
存在表明该主机已中WannaCry勒索病毒

3、病毒处置

(1)打漏洞补丁
A.检查设备是否打了补丁
wannacry检测工具: http://edr.sangfor.com.cn/tool/WannaCryTool.zip

B.请到微软官网下载MS17-010补丁,并安装;
下载地址:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
注意: 该步骤必须要做,如果主机不打补丁,即使病毒通过杀软清理之后,仍会被二次感染。

(2)隔离感染主机
已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

(3)切断感染源
关闭文件共享:控制面板>启动“Windows防火墙”>“高级选项”>“入站规则”>关闭SMB应用端口(135、137、139、445)。




(4)病毒查杀
推荐使用深信服EDR工具( http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)进行分析并查杀(目前不少勒索病毒加密完会自行删除本体,杀软不一定能100%杀出病毒),上传样本到virustotal、微步在线等平台进行确认,看是否报样本为勒索病毒,截图取证。

virustotal
https://www.virustotal.com/
wiki在线
https://wiki.sec.sangfor.com.cn/


上一条:Petya

下一条:虚拟货币挖矿

关闭

地址:西安市鄠邑区人民路8号  邮编:710300

Copyright©2019 陕西国防工业职业技术学院

陕公网安备:61012502000138   号备案号:陕ICP备06002608号

微博二维码
微信二维码