本帖最后由 简约、 于 2017-5-16 20:57 编辑
5月16日来自火绒WannaCry的深度技术分析▼ (以下为简介,具体详见火绒官网分析报告:http://www.huorong.cn/info/149492332565.html)
————————————————————————————————————————————————————————————————————————————— 5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。
本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。
病毒攻击行为和结果
遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。
WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。
至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。
因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。
传播途径和攻击方式
据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。
其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。
据悉,蠕虫代码运行后先会连接域名:hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行传播。
但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。
易受攻击用户群
目前看来,该病毒的受害者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到攻击的用户群。
首先,该病毒只攻击Windows系统的电脑,几乎所有的Windows系统如果没有打补丁,都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,用户如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。
Windows10是最安全的,由于其系统是默认开启自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到攻击。
同时,目前这个病毒通过共享端口传播同时在公网及内网进行传播,直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过路由拨号的个人和企业用户,则不会受到来自公网的直接攻击。
火绒将持续追杀WannaCry
目前,对抗“蠕虫”勒索软件攻击的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。
自5月12日,WannaCry病毒一出,各机构和用户人心惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。
而日后病毒是否会变异出现新“变种”?火绒实验室将持续跟踪新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。
此次勒索病毒WannaCry传播速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的考验,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。
———————————————————————————————————————————————————————————————————————————————————————
关于有部分人说自己的电脑打不上补丁,由于是GHOST系统及Win7SP0等版本,无法安装补丁或蓝屏情况。可以使用360有点鸡肋的热补丁救急一下或者自己手动处理一下即可▼
▲在安装补丁之前首先要确保windows updata服务,Windows Install服务和BITS服务已经启动
已经启动,如果没启动这些服务,安装补丁会失败,失败错误码0x8024800C(2149875724),0x80070422(2147943458),查看错误码的方法看步骤3,开启服务的方法如下:
1、右击桌面图标计算机图标--->点击“管理”,打开计算机管理页面
2、在计算机管理页面点击-->服务和应用程序-->服务,找到服务名Windows Install,如果状态不是”已启动”,则说明服务没有启动,点击-->启动此服务,另外两个服务windows updata和BITS(Background IntelligentTransfer Service)用同样的方法开启
补丁KB4012212安装失败处理流程5.1.右击桌面图标计算机图标--->点击“管理”,打开计算机管理页面
在计算机管理页面点击-->事件查看器-->setup-->看错误信息提示(来源是WUSA)-->如果错误提示信息中有如下提示的:无法安装 Windows 更新"Windows 安全更新程序 (KB4012212)",因为发生错误: 2147956498“组件存储已损坏”(如下图),如果错误码是2147956498(十六进制为0x80073712)则按照骤6来解决,错误码是2147942423(十六进制0x80070017)则按照骤7来解决
错误码是2147956498(组件存储已损坏)的解决方法6.1.跟据微软公告信息该错误主要是由于没安装补丁KB947821导致,需要先安装补丁KB947821,请用户跟据电脑操作系统的版本号下载补丁KB947821安装。 Windows 7 补丁 (KB947821):64位系统http://url.cn/499p3h232位系统:http://url.cn/499p43y WindowsServer 2008 R2 补丁 (KB947821):64位系统http://url.cn/499m4Pb WindowsServer 2008 R2 for Itanium-based 补丁 :http://url.cn/499p5KA Windows Vista补丁 (KB947821):32位系统:http://url.cn/499refo64位系统http://url.cn/499oZvt WindowsServer 2008 补丁 (KB947821)32位系统http://url.cn/499oafz64位系统http://url.cn/499obR4Windows Server 2008 for Itanium-based 补丁(KB947821)http://url.cn/499mBIw6.2.根据电脑系统版本号下载相应的补丁安装,注意由于补丁较大安装时间会较长,有时进度条会一直显示不动,有的用户会安装时间可能要一个多小时,这种情况不是卡死请耐心等待
错误码是2147942423(数据错误,循环冗余检查)的解决方法7.1.以管理员身份运行CMD,输入命令chkdsk /r -->如果显示无法锁定当前驱动器则继续输入-->Y-->回车后重启计算机,重启完后再安装kb4012212便可
早先勒索病毒蠕虫onion原本有个停止传播判断媒介,可能是为了控制感染规模。但最新出现的蠕虫变种wannacry已经取消了这个媒介,这意味着它会毫无限制的自动传播。人会累,但机器不会,只要有一台带毒机器开着,蠕虫就不会停。今天开机一定注意做好防护措施!
附上最新一个可能恢复文件方法:以往勒索病毒一般是把原始文件用垃圾数据多次覆盖后删除,要么是直接篡改原始文件。这次WNCRY蠕虫却是直接删原始文件,留下一线生机,所以才有机会恢复,删除文件恢复的原理,不能保证恢复所有文件,但总比没有强▼
▲找回被病毒删的文件恢复方法:使用任意文件恢复工具,多次尝试恢复电脑被删文件,不放过任意一个可恢复文件,逐个查看是否为被删的重要文件,最后备份已找回文件(此方法为找回原始文件已感染电脑可能的可行方法,如果电脑已经感染请按照以上步骤测试是否可行)
最新附上一个od跳过解决的办法,方法来自网络实际情况在感染电脑自行测试,也希望坛友们有什么解决的办法后第一时间告知大家(图片来自网络不太清晰,请自行载入od尝试一下)
关于NSA的一些介绍: (下面附上防范与解决方法) 感谢坛友提供的找回被加密文件方法:
已经中招的可以尝试数据恢复病毒加密后删除的原文件,应该可以恢复部分(此方法未经大量实验验证,请在感染电脑上先自行测试)
2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议
进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武
器库中“永恒之蓝”攻击程序发起的网络攻击事件。
目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任
何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远
程控制木马、虚拟货币挖矿机等恶意程序。
此蠕虫目前在没有对445端口进行严格访问控制的教育网及企业内网大量传
播,呈现爆发的态势,受感染系统会被勒索高额金钱,不能按时支付赎金的系统
会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害,各
类规模的企业内网也已经面临此类威胁。
360安全监测与响应中心也将持续关注该事件的进展,并第一时间为您更新
该事件信息。
前情提要:北京时间2017年4月14日晚,一大批新的NSA相关网络攻击工
具及文档被Shadow Brokers组织公布,其中包含了涉及多个Windows系统服务
(SMB、RDP、IIS)的远程命令执行工具。
——————————————————————————————————————————————————————
全球爆发电脑勒索病毒 中国多所大学校园网被攻击
除了中国,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。
———————————————————————————————————————————————————————————
最新进展:据BBC报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。
——————————————————————————————————————————————————————————————————————————————————
另据IT之家5月12日报道,今天晚上,IT之家有不少小伙伴投稿称,在今晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。
据悉,病毒是全国性的,疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。
另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。
IT之家提请各地区校园学子,请赶紧备份重要文件以免遭到勒索,特别是应届毕业生,论文一定要备份好!
从目前的情况来看,病毒似乎还在扩散,IT之家将会持续关注。
另悉,英国多家公立医院也疑似遭到相同病毒的攻击。
【延伸阅读】英国多家公立医院遭遇网络攻击黑客敲诈要钱
据英国媒体报道,5月12日英国国家医疗服务体系遭遇了大规模网络攻击,多家公立医院的电脑系统几乎同时瘫痪,电话线路也被切断,导致很多急诊病人被迫转移。
《每日邮报》称,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。
医院员工说,他们的电脑屏幕上弹出窗口。黑客们发送的消息说,医院的电脑已经被控制,必须缴纳赎金才能阻止所有的文件被删除。
网络上流传的一条消息说,黑客向每台被操控的电脑索要300美元的赎金,以网络虚拟货币比特币的形式支付。弹窗页面还有一个倒计时钟表,显示的截至日期是下周五。
报道称,已经至少有10笔每笔额度300美元左右的赎金被打到黑客提供的比特币账户。
去年美国洛杉矶也遭遇过类似的网络袭击,根据美国联邦调查局数据,当时黑客一共得到13,140英镑的赎金。
——————————————————————————————————————————————————————————————————————————————————————————
关于防范ONION勒索软件病毒攻击的紧急通知
校园网用户:
近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网就是受攻击的重灾区!
在此提醒广大师生:
目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请广大师生尽快为电脑安装此补丁;对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe
◆▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁ ▁▁▁▁▁▁▁▁▁▁▁▁ ▁▁▁▁▁▁▁▁▁▁▁▁ ▁▁▁▁▁▁▁▁▁▁▁▁ ◆
预防感染办法:
①控制面板->系统与安全->启用Windows防火墙->点击”高级设置”->点击“入站规则”->选择”新建规则”->规则类型选择“端口”->应用于“TCP”协议 特定本地端口并输入“445”->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->规则名称任意输入并点击完成
CMD命令手动关闭445端方法:
WIN+R 输入cmd,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启
如果已经开启可以依次输入以下命令进行关闭:
net stop rdr
sc config rdr start= disabled
net stop srv
sc config srv start= disabled
net stop netbt
sc config netbt start= disabled
②打上最新官方补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010
(各系统具体补丁:win7 : https://mirror.sdu.edu.cn/ms17-010/win7/
win8 : https://mirror.sdu.edu.cn/ms17-010/win8/
win10 : https://mirror.sdu.edu.cn/ms17-010/win10/)
③XP win2003 以下 https://dl.360safe.com/nsa/nsatool.exe (360的检测与修复工具)
④个人蔫脑最直接的办法就是用杀软快速扫描一下,基本上能够检测出开了哪些风险端口并处理关闭
提示:官方补丁完成后,可以下载文章内那个360的检测以下 是不是修复完成。
另外附加一个H大发布的已经被感染电脑的解决办法:
1:打开那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment.
6:再点击decrypt 解密文件即可。
此方法不知道有没有用,想看看的人可以找个样本在虚拟机里面尝试一下(附上样本文件哈勃分析结果报告:https://habo.qq.com/file/showdetail?pk=ADEGY11uB2IIPVs5)
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
永恒之蓝勒索蠕虫分析结果报告
MD5: DB349B97C37D22F5EA1D1841E3C89EB4文件大小: 3,723,264影响面:除Windows 10外,所有未打MS-17-010补丁的Windows系统都可能被攻击功能: 释放加密程序,使用RSA+AES加密算法对电脑文件进行加密勒索,通过MS17-010漏洞实现自身的快速感染和扩散。
0x03 蠕虫的攻击流程
该蠕虫病毒使用了ms17-010漏洞进行了传播,一旦某台电脑中招,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下
0x04 蠕虫启动逻辑分析
1.蠕虫启动时将连接固定url: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com a)如果连接成功,则退出程序b)连接失败则继续攻击2.接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程.a)安装流程i.创建服务,服务名称: mssecsvc2.0参数为当前程序路径 –m securityii.释放并启动exe程序移动当前 C:\WINDOWS\tasksche.exe到 C:\WINDOWS\qeriuwjhrf释放自身的1831资源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,并以 /i参数启动b)服务流程i.服务函数中执行感染功能,执行完毕后等待24小时退出.ii.感染功能初始化网络和加密库,初始化payload dll内存.a)Payload包含2个版本,x86和x64 b)功能为释放资源到c:\windows\mssecsvc.exe并执行启动线程,在循环中向局域网的随机ip发送SMB漏洞利用代码 
0x05 蠕虫利用漏洞确认
通过对其中的发送的SMB包进行分析,我们发现其使用漏洞攻击代码和https://github.com/rapid7/metasploit-framework 近乎一致,为Eternalblue工具使用的攻击包。 蠕虫 SMB数据包: Eternalblue工具使用的MS17-010 SMB数据包: https://github.com/RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode 文件内容在DB349B97C37D22F5EA1D1841E3C89EB4中出现orig_shellcode文件内容:  DB349B97C37D22F5EA1D1841E3C89EB4 文件:
0x06 蠕虫释放文件分析
蠕虫成功启动后将开始释放文件,流程如下: 释放文件与功能列表,如下:
0x07 关键勒索加密过程分析
蠕虫会释放一个加密模块到内存,直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。程序动态获取了文件系统和加密相关的API函数,以此来躲避静态查杀。 整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。加密流程如下图所示。 使用的密钥概述: 目前加密的文件后缀名列表: 值得注意的是,在加密过程中,程序会随机选取一部分文件使用内置的RSA公钥来进行加密,这里的目的是解密程序提供的免费解密部分文件功能。 能免费解密的文件路径在文件f.wnry中
0x08 蠕虫赎金解密过程分析
首先,解密程序通过释放的taskhsvc.exe向服务器查询付款信息,若用户已经支付过,则将eky文件发送给作者,作者解密后获得dky文件,这就是解密之后的Key解密流程与加密流程相反,解密程序将从服务器获取的dky文件中导入Key  可以看到,当不存在dky文件名的时候,使用的是内置的Key,此时是用来解密免费解密的文件使用的。  之后解密程序从文件头读取加密的数据,使用导入的Key调用函数CryptDecrypt解密,解密出的数据作为AES的Key再次解密得到原文件。
总结
该蠕虫在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制,危害不小于冲击波和震荡波蠕虫,并且该敲诈者在文件加密方面的编程较为规范,流程符合密码学标准,因此在作者不公开私钥的情况下,很难通过其他手段对勒索文件进行解密,同时微软已对停止安全更新的xp和2003操作系统紧急发布了漏洞补丁,请大家通过更新MS17-010漏洞补丁来及时防御蠕虫攻击。
此报告来自安全客分析:
http://m.bobao.360.cn/learning/appdetail/3853.html
看了中英文版本的勒索信,感觉此次病毒传播黑(骇)团队中可能有一个中国人。(文中出现了“老天爷”字样,要是按照西方文化来说,东方的玉帝西方的上帝,怎么也轮不到老天爷出来。。。)中英文的病毒勒索信,中文版文字流畅自然,还带点独创的『幽默』,英文版却十分生硬,句式变化也很少,还有好几处句法和语法错误」
另外此次病毒非一般破坏性病毒和锁机类,而是对电脑文件进行加密勒索的恶意行为,尽管中毒以后再成功删除,被加密的文件仍旧无法恢复,暂时只能支付高额赎金解密,所以无论是个人电脑还是企业服务器务必下载安装微软最新发布的安全补丁程序,否则可能会导致个人电脑数据被勒索软件加密,服务器被入侵,事不宜迟
微软连停止技术支持的XP和2003都为其发布补丁了,可见问题是何等的严重。。。
Windows 8 安全更新程序 (KB4012598)
Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598)
Windows Vista 安全更新程序 (KB4012598)
用于基于 x64 的系统的 Windows Server 2003 安全更新程序 (KB4012598) 自定义支持
用于基于 x64 的系统的 Windows 8 安全更新程序 (KB4012598)
适用于 XPe 的 Windows XP SP3 的安全更新 (KB4012598) 自定义支持
Windows XP SP3 安全更新程序 (KB4012598) 自定义支持
Windows Server 2003 安全更新程序 (KB4012598) 自定义支持
用于基于 x64 的系统的 Windows Vista 安全更新程序 (KB4012598)
用于基于 x64 的系统的 Windows Server 2008 安全更新程序 (KB4012598)
Windows Server 2008 安全更新程序 (KB4012598)
适用于 WES09 和 POSReady 2009 的安全更新 (KB4012598)
感觉这次事件最可怕的是说明了如果美帝突然发动网络战会导致世界各国变成什么样,原本这就是NSA开发的一个攻击程序,只是刚好被黑客拿出来用。那么那些未被披露的后门呢
此次事件暴露出蠕虫病毒真是网络战的利器,这次的 MS17-010 漏洞 "Eternal Blue" 还是美国国家安全局内部搞出来的,被黑客组织泄露出来才为人所知,然后才有微软发布的补丁。但是在一个月之后,利用这个漏洞做成的敲诈软件依然放倒一大片。而 NSA 手上的有没有其它没有公开出来的漏洞呢?没人知道。
国内的政府机关、科研机构等关乎国计民生的重要部门,很多使用的都是陈旧的 Xp,Windows 7,IE 6 等等,而且拒绝更新。假如中美之间真的发生了什么, NSA 放出一个针对中国的更加糟糕的破环型蠕虫病毒,我们有什么应对措施呢
| 
[复制链接]
发表于 2017-5-13 13:58
|
发表于 2017-5-13 14:14
