NSA的黑客工具Eternalblue被利用后勒索软件爆发

匿名者  2511天前

5月12日,全球的Windows系统遭遇一款名为Wannacry的勒索软件感染,国内的高校、公安、中国石油等均受害。被感染的电脑,文件会被加密,电脑会显示要求支付赎金(比特币)的界面。Wannacry利用最近泄漏出的NSA方程式的工具包中Eternalblue(中文名“永恒之蓝”),此工具利用了微软编号为MS-17010的漏洞。因为漏洞影响范围太广,今日,微软专门针对已经停止了更新的Windows XP和windows2003系统推出补丁。图1-Wannacry勒索软件界面.png图1-Wannacry勒索软件界面

Wannacry勒索软件中毒后解决方案

1.打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址) 

2.把copy粘贴到btc.com (区块链查询器) 

3.在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值) 

4.把txid 复制粘贴给 勒索软件界面按钮connect us. 

5.等黑客看到后 你再点击勒索软件上的check payment.  

6.再点击decrypt 解密文件即可。

恢复文件后,及时安装补丁,并使用杀毒软件进行全盘查杀。或者备份文件后,格式化硬盘,并重新安装操作系统。

事件发生时间轴

图2-事件发生时间轴.png

图2-事件发生时间轴

Wannacry技术分析

Wannacry病毒通过邮件和MS-17010进行传播,受感染的电脑将加密系统中的文件并要求用户支付300-600美元不等的比特币到勒索者的比特币钱包中。通过白帽汇目前跟进的信息显示,目前发现勒索者的4个比特币钱包,这4个比特币钱包地址共计收到付款68笔。预计勒索者目前为止预计收到20400至40800美元,约合14万-28万人民币。感染了这么多台电脑,却收到如此少的赎金,可能由于支付比特币需要连接tor网络中,而在国内tor网络被屏蔽;其次,许多感染病毒用户又不知去哪里购买比特币;还有一大部分用户电脑中没有敏感文件或有备份,选择重新安装操作系统。

图2-中国加油站受到Wannacry攻击.jpg

图3-中国加油站受到Wannacry攻击

图3-勒索者比特币钱包交易记录之一.png

图4-勒索者比特币钱包交易记录之一

其中已经发现的比特币4个钱包如下,点击链接可以查看详细: 

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

https://blockchain.info/address/1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

病毒加密的文件后缀有:

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcme ta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

病毒执行流程图(来自twitter上的安全研究人员)

图4-病毒的执行流程.png

 图5-病毒的执行流程

已经捕获到50种左右的病毒样本

图6-已经捕获到50种左右的病毒样本.jpg

图6-已经捕获到50种左右的病毒样本

影响

目前国内受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。另外有网友反映,大连海事大学、山东大学等感染了病毒。网络中也有发布关于公安,中国石油等电脑感染病毒,导致相关业务受到影响的图片。

根据bbc报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。

截止目前为止,安全研究团队分析样本发现www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的域名,在访问这个域名成功后,会停止感染,而国外研究者注册了该域名,并解析成功,使得病毒暂缓传染。不过,经过白帽汇安全研究人员测试确认,在可以打开该网址时,勒索软件依然对系统内的文件进行了加密。

根据白帽汇还检测到国内也已经有批量利用抓肉鸡的工具:

图5-MS17010漏洞批量利用工具.jpg

图7-MS17010漏洞批量利用工具

防范建议

企业防范

1、 扫描企业内部所有资产的漏洞存在情况,及时更新补丁。

2、 安装杀毒软件,更新最新版本病毒库。

3、 在没有杀毒软件情况下,可以使用yara的规则进行相关防护和检查(yara规则如下,地址为https://github.com/Neo23x0/signature-base/blob/master/yara/crime_wannacry.yar

个人防范

1、 windows7 以上用户可直接安装微软MS17010补丁,补丁网址https://technet.microsoft.com/zh-cn/library/security/MS17-01,用户也可通过安全卫士类软件进行修复。

对于Windows XP和2003 的用户,微软也紧急推出了补丁,相关地址为https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

2、 用户也可以通过禁用137,138,139,445端口来免受病毒入侵。

3、 用户可使用如下脚本来防范病毒入侵:

https://nosec.org/my/threats/download_attach?attach_md5_keys=1b0dac5d97a9fa66da4b253f112a0b9f

图8-防止被入侵的脚本

5、安装杀毒软件,病更新最新版本病毒库。

在这里白帽汇提醒各位,电脑安装杀毒软件,及时更新系统补丁。不随意乱点不明邮件和相关附件。电脑安装杀毒软件,及时更新系统补丁。不随意乱点不明邮件和相关附件。 

电脑安装杀毒软件,及时更新系统补丁。不随意乱点不明邮件和相关附件。 重要的事情说三遍。 


白帽汇会持续对该事件进行跟进。请持续关注该病毒情况

参考

[1] https://nosec.org/my/threats/1501

[2] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

[3] https://github.com/Neo23x0/signature-b-base/blob/master/yara/crime_wannacry.yar

[4] https://malwaretips.com/blogs/remove-your-personal-files-are-encrypted-virus/

[5] https://docs.google.com/spreadsheets/d/1XNCCiiwpIfW8y0mzTUdLLVzoW6x64hkHJ29hcQW5deQ/pubhtml#

[6] https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168#cryptography-details

最新评论

1331688  :  更新: [5] **s://do**.google.com/spreadsheets/d/1XNCCiiwpIfW8y0mzTUdLLVzoW6x**hkHJ29hcQW5deQ/pubhtml# [6] **s://gist.github.com/rain-1/9**428**5504f378b993ee6efbc0b168#cryptography-details
2511天前 回复
so-so  :  在访问域名成功后是停止感染,文中写成访问不成功停止感染。
2509天前 回复
昵称
邮箱
提交评论