#Wannacry勒索病毒免疫工具简介
WannaCry勒索病毒于2017年5月爆发,利用Windows系统445端口的SMB漏洞(MS17-010)进行传播,具有自我复制和主动感染特性。受感染的文件被加密,后缀改为“.WNCRY”,攻击者要求支付价值300美元的比特币以解锁文件,赎金随时间增加。此次事件波及全球150多个国家,超过20万台电脑受影响,我国教育行业校园网受损严重。病毒源于NSA泄露的“永恒之蓝”攻击工具,尽管微软已于3月发布补丁,但许多用户未及时更新,导致大规模感染。勒索对象包括数据库、Office文档、媒体文件、源代码、证书等多种类型文件。此次攻击暴露了用户对漏洞认知不足、防护措施缺失的问题,强调了及时打补丁、关闭高风险端口及加强网络安全监测的重要性。
WannaCry勒索病毒介绍
5月12日晚开始,WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击,受入侵电脑超过20万,并且影响还在持续中,用户依然需要加强防护措施。WannaCry勒索病毒事件最初在英国曝光,12日晚上10点,英国时间大约下午3点半,英国全国共16家医院同时遭到网络攻击。 所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁,文件已经全部被加密,除非你支付价值300美元的比特币,否则你的文件将会被永久删除”。
很快,在英国地区遭受这些攻击的同时,全球多地发出告警,一场针对全球的网络攻击,瞬时展开。我国多个行业网络同样受到WannaCry勒索病毒攻击, 其中教育行业中的校园网受损尤为严重。目前,全球遭遇攻击的国家超过150个,幸免的国家,要么没有电脑,要么没有网络。
病毒分析
通过分析发现,WannaCry勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件, 利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁,导致电脑或服务器中招。
今年4月,方程式组织泄露addjob、swift、windows三个文件夹的数据,其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。 本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。
漏洞影响
深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看,从5月12号晚上开始, 不到一天的时间,发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次,其中受灾最严重的地区是杭州市,被攻击次数多达1612次。其实,勒索病毒并不陌生,这几年也频繁出现,然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。 究其原因,是大家对漏洞认知较少,也不清楚是否需要防护,该如何去防护。
由于没有相关监测产品对其业务进行7*24小时的安全值守,导致很多用户对安全漏洞感知不足,使得攻击者通过漏洞对其业务进行勒索。
攻击类型
1、数据库文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)
2、并不常用,但是某些特定国家使用的office文件格式(.sxw、.odt、.hwp)
3、压缩文档和媒体文件(.zip、.rar、.tar、.mp4、.mkv)
4、电子邮件和邮件数据库(.eml、.msg、.ost、.pst、.deb)
5、常用的Office文件(扩展名为.ppt、.doc、.docx、.xlsx、.sxi)
6、开发者使用的源代码和项目文件(.php、.java、.cpp、.pas、.asm)
7、密匙和证书(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)
8、美术设计人员、艺术家和摄影师使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)
9、虚拟机文件(.vmx、.vmdk、.vdi)
