[font='Microsoft YaHei']早先勒索病毒蠕虫onion原本有个停止传播判断媒介,可能是为了控制感染规模。但最新出现的蠕虫变种wannacry已经取消了这个媒介,这意味着它会毫无限制的自动传播。人会累,但机器不会,只要有一台带毒机器开着,蠕虫就不会停。今天开机一定注意做好防护措施![font='Microsoft YaHei']附上最新一个可能恢复文件方法:以往勒索病毒一般是把原始文件用垃圾数据多次覆盖后删除,要么是直接篡改原始文件。这次WNCRY蠕虫却是直接删原始文件,留下一线生机,所以才有机会恢复,删除文件恢复的原理,不能保证恢复所有文件,但总比没有强▼▲找回被病毒删的文件恢复方法:使用任意文件恢复工具,多次尝试恢复电脑被删文件,不放过任意一个可恢复文件,逐个查看是否为被删的重要文件,最后备份已找回文件(此方法为找回原始文件已感染电脑可能的可行方法,如果电脑已经感染请按照以上步骤测试是否可行)[font='Microsoft YaHei'][font='Microsoft YaHei'][font='Microsoft YaHei']最新附上一个od跳过解决的办法,方法来自网络实际情况在感染电脑自行测试,也希望坛友们有什么解决的办法后第一时间告知大家(图片来自网络不太清晰,请自行载入od尝试一下)[font='Microsoft YaHei']关于NSA的一些介绍: (下面附上防范与解决方法)
感谢坛友提供的找回被加密文件方法:
已经中招的可以尝试数据恢复病毒加密后删除的原文件,应该可以恢复部分(此方法未经大量实验验证,请在感染电脑上先自行测试)
2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议
进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武
器库中“永恒之蓝”攻击程序发起的网络攻击事件。
目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任
何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远
程控制木马、虚拟货币挖矿机等恶意程序。
此蠕虫目前在没有对445端口进行严格访问控制的教育网及企业内网大量传
播,呈现爆发的态势,受感染系统会被勒索高额金钱,不能按时支付赎金的系统
会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害,各
类规模的企业内网也已经面临此类威胁。
360安全监测与响应中心也将持续关注该事件的进展,并第一时间为您更新
该事件信息。
前情提要:北京时间2017年4月14日晚,一大批新的NSA相关网络攻击工
具及文档被Shadow Brokers组织公布,其中包含了涉及多个Windows系统服务
(SMB、RDP、IIS)的远程命令执行工具。
——————————————————————————————————————————————————————
全球爆发电脑勒索病毒 中国多所大学校园网被攻击
除了中国,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。
———————————————————————————————————————————————————————————
最新进展:据BBC报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。
——————————————————————————————————————————————————————————————————————————————————
另据IT之家5月12日报道,今天晚上,IT之家有不少小伙伴投稿称,在今晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。
据悉,病毒是全国性的,疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。
另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。
IT之家提请各地区校园学子,请赶紧备份重要文件以免遭到勒索,特别是应届毕业生,论文一定要备份好!
从目前的情况来看,病毒似乎还在扩散,IT之家将会持续关注。
另悉,英国多家公立医院也疑似遭到相同病毒的攻击。
【延伸阅读】英国多家公立医院遭遇网络攻击黑客敲诈要钱
据英国媒体报道,5月12日英国国家医疗服务体系遭遇了大规模网络攻击,多家公立医院的电脑系统几乎同时瘫痪,电话线路也被切断,导致很多急诊病人被迫转移。
《每日邮报》称,至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击,这些机构包括医院和全科医生诊所。
医院员工说,他们的电脑屏幕上弹出窗口。黑客们发送的消息说,医院的电脑已经被控制,必须缴纳赎金才能阻止所有的文件被删除。
网络上流传的一条消息说,黑客向每台被操控的电脑索要300美元的赎金,以网络虚拟货币比特币的形式支付。弹窗页面还有一个倒计时钟表,显示的截至日期是下周五。
报道称,已经至少有10笔每笔额度300美元左右的赎金被打到黑客提供的比特币账户。
去年美国洛杉矶也遭遇过类似的网络袭击,根据美国联邦调查局数据,当时黑客一共得到13,140英镑的赎金。
——————————————————————————————————————————————————————————————————————————————————————————
关于防范ONION勒索软件病毒攻击的紧急通知
校园网用户:
近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网就是受攻击的重灾区!
在此提醒广大师生:
◆▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁▁ ▁▁▁▁▁▁▁▁▁▁▁▁ ▁▁▁▁▁▁▁▁▁▁▁▁ ▁▁▁▁▁▁▁▁▁▁▁▁ ◆
[font='Microsoft YaHei']预防感染办法:
①控制面板->系统与安全->启用Windows防火墙->点击”高级设置”->点击“入站规则”->选择”新建规则”->规则类型选择“端口”->应用于“TCP”协议 特定本地端口并输入“445”->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->规则名称任意输入并点击完成
[font='Microsoft YaHei']
[font='Microsoft YaHei']CMD命令手动关闭445端方法:
[font='Microsoft YaHei']WIN+R 输入cmd,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启
如果已经开启可以依次输入以下命令进行关闭:
net stop rdr
sc config rdr start= disabled
net stop srv
sc config srv start= disabled
net stop netbt
sc config netbt start= disabled
[font='Microsoft YaHei']②打上最新官方补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010
[font='Microsoft YaHei'][font='Microsoft YaHei'](各系统具体补丁:win7 : https://mirror.sdu.edu.cn/ms17-010/win7/
win10 : https://mirror.sdu.edu.cn/ms17-010/win10/)
[font='Microsoft YaHei'][font='Microsoft YaHei']③XP win2003 以下 https://dl.360safe.com/nsa/nsatool.exe (360的检测与修复工具)
[font='Microsoft YaHei'][font='Microsoft YaHei']④个人蔫脑最直接的办法就是用杀软快速扫描一下,基本上能够检测出开了哪些风险端口并处理关闭
提示:官方补丁完成后,可以下载文章内那个360的检测以下 是不是修复完成。
[font='Microsoft YaHei'][font='Microsoft YaHei']另外附加一个H大发布的已经被感染电脑的解决办法:
[font='Microsoft YaHei']1:打开那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment.
6:再点击decrypt 解密文件即可。
[font='Microsoft YaHei']此方法不知道有没有用,想看看的人可以找个样本在虚拟机里面尝试一下(附上样本文件哈勃分析结果报告:https://habo.qq.com/file/showdetail?pk=ADEGY11uB2IIPVs5)
[font='Microsoft YaHei']
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
永恒之蓝勒索蠕虫分析结果报告
MD5: DB349B97C37D22F5EA1D1841E3C89EB4文件大小: 3,723,264影响面:除Windows 10外,所有未打MS-17-010补丁的Windows系统都可能被攻击功能: 释放加密程序,使用RSA+AES加密算法对电脑文件进行加密勒索,通过MS17-010漏洞实现自身的快速感染和扩散。
[font='Microsoft YaHei']0x03 蠕虫的攻击流程
[font='Microsoft YaHei']该蠕虫病毒使用了ms17-010漏洞进行了传播,一旦某台电脑中招,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下
[font='Microsoft YaHei']0x04 蠕虫启动逻辑分析
[font='Microsoft YaHei']1.蠕虫启动时将连接固定url: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com a)如果连接成功,则退出程序b)连接失败则继续攻击2.接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程.a)安装流程i.创建服务,服务名称: mssecsvc2.0参数为当前程序路径 –m securityii.释放并启动exe程序移动当前 C:WINDOWStasksche.exe到 C:WINDOWSqeriuwjhrf释放自身的1831资源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:WINDOWStasksche.exe,并以 /i参数启动b)服务流程i.服务函数中执行感染功能,执行完毕后等待24小时退出.ii.感染功能初始化网络和加密库,初始化payload dll内存.a)Payload包含2个版本,x86和x64b)功能为释放资源到c:windowsmssecsvc.exe并执行启动线程,在循环中向局域网的随机ip发送SMB漏洞利用代码
[font='Microsoft YaHei']0x05 蠕虫利用漏洞确认
[font='Microsoft YaHei']通过对其中的发送的SMB包进行分析,我们发现其使用漏洞攻击代码和https://github.com/rapid7/metasploit-framework 近乎一致,为Eternalblue工具使用的攻击包。蠕虫 SMB数据包:Eternalblue工具使用的MS17-010 SMB数据包:https://github.com/RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode 文件内容在DB349B97C37D22F5EA1D1841E3C89EB4中出现orig_shellcode文件内容: DB349B97C37D22F5EA1D1841E3C89EB4 文件:
[font='Microsoft YaHei']0x06 蠕虫释放文件分析
[font='Microsoft YaHei']蠕虫成功启动后将开始释放文件,流程如下:释放文件与功能列表,如下:
[font='Microsoft YaHei']0x07 关键勒索加密过程分析
[font='Microsoft YaHei']蠕虫会释放一个加密模块到内存,直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。程序动态获取了文件系统和加密相关的API函数,以此来躲避静态查杀。整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。加密流程如下图所示。使用的密钥概述:目前加密的文件后缀名列表:值得注意的是,在加密过程中,程序会随机选取一部分文件使用内置的RSA公钥来进行加密,这里的目的是解密程序提供的免费解密部分文件功能。能免费解密的文件路径在文件f.wnry中
[font='Microsoft YaHei']0x08 蠕虫赎金解密过程分析
[font='Microsoft YaHei']首先,解密程序通过释放的taskhsvc.exe向服务器查询付款信息,若用户已经支付过,则将eky文件发送给作者,作者解密后获得dky文件,这就是解密之后的Key解密流程与加密流程相反,解密程序将从服务器获取的dky文件中导入Key可以看到,当不存在dky文件名的时候,使用的是内置的Key,此时是用来解密免费解密的文件使用的。之后解密程序从文件头读取加密的数据,使用导入的Key调用函数CryptDecrypt解密,解密出的数据作为AES的Key再次解密得到原文件。
[font='Microsoft YaHei']总结
[font='Microsoft YaHei']该蠕虫在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制,危害不小于冲击波和震荡波蠕虫,并且该敲诈者在文件加密方面的编程较为规范,流程符合密码学标准,因此在作者不公开私钥的情况下,很难通过其他手段对勒索文件进行解密,同时微软已对停止安全更新的xp和2003操作系统紧急发布了漏洞补丁,请大家通过更新MS17-010漏洞补丁来及时防御蠕虫攻击。
此报告来自安全客分析:
http://m.bobao.360.cn/learning/appdetail/3853.html
[font='Microsoft YaHei']看了中英文版本的勒索信,感觉此次病毒传播黑(骇)团队中可能有一个中国人。(文中出现了“老天爷”字样,要是按照西方文化来说,东方的玉帝西方的上帝,怎么也轮不到老天爷出来。。。)中英文的病毒勒索信,中文版文字流畅自然,还带点独创的『幽默』,英文版却十分生硬,句式变化也很少,还有好几处句法和语法错误」
另外此次病毒非一般破坏性病毒和锁机类,而是对电脑文件进行加密勒索的恶意行为,尽管中毒以后再成功删除,被加密的文件仍旧无法恢复,暂时只能支付高额赎金解密,所以无论是个人电脑还是企业服务器务必下载安装微软最新发布的安全补丁程序,否则可能会导致个人电脑数据被勒索软件加密,服务器被入侵,事不宜迟
[font='Microsoft YaHei']微软连停止技术支持的XP和2003都为其发布补丁了,可见问题是何等的严重。。。
Windows 8 安全更新程序 (KB4012598)
Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
Security Update for Windows Server 2008 for Itanium-based Systems (KB4012598)
Windows Vista 安全更新程序 (KB4012598)
用于基于 x64 的系统的 Windows Server 2003 安全更新程序 (KB4012598) 自定义支持
用于基于 x64 的系统的 Windows 8 安全更新程序 (KB4012598)
适用于 XPe 的 Windows XP SP3 的安全更新 (KB4012598) 自定义支持
Windows XP SP3 安全更新程序 (KB4012598) 自定义支持
Windows Server 2003 安全更新程序 (KB4012598) 自定义支持
用于基于 x64 的系统的 Windows Vista 安全更新程序 (KB4012598)
用于基于 x64 的系统的 Windows Server 2008 安全更新程序 (KB4012598)
Windows Server 2008 安全更新程序 (KB4012598)
适用于 WES09 和 POSReady 2009 的安全更新 (KB4012598)
感觉这次事件最可怕的是说明了如果美帝突然发动网络战会导致世界各国变成什么样,原本这就是NSA开发的一个攻击程序,只是刚好被黑客拿出来用。那么那些未被披露的后门呢
[font='Microsoft YaHei']此次事件暴露出蠕虫病毒真是网络战的利器,这次的 MS17-010 漏洞 "Eternal Blue" 还是美国国家安全局内部搞出来的,被黑客组织泄露出来才为人所知,然后才有微软发布的补丁。但是在一个月之后,利用这个漏洞做成的敲诈软件依然放倒一大片。而 NSA 手上的有没有其它没有公开出来的漏洞呢?没人知道。
[font='Microsoft YaHei']国内的政府机关、科研机构等关乎国计民生的重要部门,很多使用的都是陈旧的 Xp,Windows 7,IE 6 等等,而且拒绝更新。假如中美之间真的发生了什么, NSA 放出一个针对中国的更加糟糕的破环型蠕虫病毒,我们有什么应对措施呢
