WannaCry勒索病毒文件攻击流程：

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

其中u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框，可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的decrypt，会弹出解密的框。

但必须付钱后，才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
作者目前是通过这三个账号随机选取一个作为钱包地址，收取非法钱财。
精彩视频

WannaCry 2.0病毒查杀修复工具功能：1、查杀最新的比特币勒索病毒
2、帮助用户恢复勒索病毒文件
3、预防勒索病毒侵入
勒索病毒是什么：
所谓“勒索病毒”，是黑客用来攻击用户计算机，对计算机内部的信息、资源进行加密，并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付，目的在于隐蔽黑客身份。据了解，按照“汇率”，1比特币约等于582美元。
根据美国政府的统计，在美国国内，单单2016年，“勒索软件”攻击发生的频率就激增了300%，几乎每天都有4000件此类勒索案件发生，其危害程度绝对不容忽视。
“勒索病毒”蔓延迅猛，一旦受到感染，用户会陷入无处脱逃的困境，是否支付赎金是一个两难的问题，所以“预防”是唯一也是最好的办法。
勒索病毒防治方法：HKCERT提出了一些避免受勒索软件影响的建议：
Tips 1. 删除收到的可疑电邮，尤其是包含链接或附件的。
2. 部份微软Office档案会要求用户启动“宏”以观看其内容，对此类电邮附件必须提高警觉。
3. 定期备份电脑上的档案。
4. 确保更新电脑上的入侵防护保安软件。
5. 保持更新操作系统及其他软件。
6. 一旦受到感染，马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。
7. 不建议支付赎金。
8. 下载软件使用手机、电脑的官方软件下载平台。

360企业安全天擎团队提供的针对“永恒之蓝”勒索蠕虫所利用漏洞的修复工具。运行该工具后，会自动检测系统是否存在相关漏洞，并提供修复方法。

介绍：http://b.360.cn/other/onionwormfix
下载地址：http://down.b.360.cn/EternalBlueFix.zip

md5:3546C6F87914282C0A03696997ADBE42
sha1:A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
sha256:9F7FCE9B15EE65AF1349C74C8AB200C9AD6C0C45C74E3945F0D4B333AF264207

病毒免疫预防措施

360企业安全天擎团队提供的系统免疫工具；在电脑上运行以后，现有蠕虫将不会感染系统。

介绍：http://b.360.cn/other/onionwormimmune
下载地址：http://dl.b.360.cn/tools/OnionWormImmune.exe

版本：1.0.0.1015
MD5:90cb913660d2f8abb23d8176bafc34ec
sha1:6ae5667431b56a615c2a1987f78836312aa0128d
sha256:2d34be95dd7487670bb39cfd1d16cf74d2dfda22d7e450486968b1a563767e97

此工具有以下两种免疫方式：

基本免疫

通过抢占WannaCry勒索蠕虫运行时创建的内核对象，迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。

增强免疫

除了基本免疫功能外，根据《WanaCrypt0r勒索蠕虫完全分析报告》，还可通过劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。

操作方法如下：

• 在内网服务器中部署http server，在http://nginx.org/en/download.html中下载运行http server;
• 查看http server所在服务器的ip,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为“OnionWormImmune(xxx.xxx.xxx.xxx).exe”， 其中“xxx.xxx.xxx.xxx”为http server IP地址;
• 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果；
  

其他预防措施

1.启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。利用系统防火墙高级设置阻止向445端口进行连接。
2.使用自动更新升级到Windows的最新版本。
3.在内外网边界出口禁止外网对内网135/137/139/445端口的连接；
4.在网络核心主干交换路由设备禁止135/137/139/445端口的连接。
5.定期对电脑内重要文件资料进行备份。

临时建议：

防火墙上阻断445端口的访问；
暂时关闭Server服务；
尽快升级；
强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。

病毒查杀方法

360企业安全天擎团队提供的针对永恒之蓝”勒索蠕虫（wannacry蠕虫）的专杀工具。

介绍：http://b.360.cn/other/onionwormkiller
下载地址：http://dl.b.360.cn/tools/wanaKiller.exe

MD5:2fb6554ccc930533b8492c7c36780a89
sha1:9ceefdd65c1021ac2ffd7207026f165cca0fa8d0
sha256:e91b82790b5a8d9a20e743b9ed1c188db7083c0d7b2257ce21f1f3e20895d371

文件恢复方法

介绍：http://weibo.com/ttarticle/p/show?id=2309404107129664487886

360首发勒索蠕虫病毒文件恢复工具：http://dl.360safe.com/recovery/RansomRecovery.exe

WNCRY病毒疯狂攻击全球上百个国家，无数宝贵资料被病毒加密，甚至有大学生毕业论文被锁死。360深入分析病毒原理，发现有可能恢复一定比例文件的急救方案，成功概率会受到文件数量等多重因素影响，详细教程见本文。越早操作，成功率越高！！

1.首先安装360安全卫士，选择漏洞修复，打好安全补丁，预防再次被攻击

2.使用360木马查杀功能，清除全部木马，防止反复感染。


3.下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
下载地址： http://dl.360safe.com/recovery/RansomRecovery.exe
选择加密文件所在驱动器

扫描后，选择要恢复的文件

强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上

WannaCry勒索病毒文件攻击流程：

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

其中u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框，可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的decrypt，会弹出解密的框。

但必须付钱后，才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
作者目前是通过这三个账号随机选取一个作为钱包地址，收取非法钱财。
精彩视频

WannaCry 2.0病毒查杀修复工具功能：1、查杀最新的比特币勒索病毒
2、帮助用户恢复勒索病毒文件
3、预防勒索病毒侵入
勒索病毒是什么：
所谓“勒索病毒”，是黑客用来攻击用户计算机，对计算机内部的信息、资源进行加密，并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付，目的在于隐蔽黑客身份。据了解，按照“汇率”，1比特币约等于582美元。
根据美国政府的统计，在美国国内，单单2016年，“勒索软件”攻击发生的频率就激增了300%，几乎每天都有4000件此类勒索案件发生，其危害程度绝对不容忽视。
“勒索病毒”蔓延迅猛，一旦受到感染，用户会陷入无处脱逃的困境，是否支付赎金是一个两难的问题，所以“预防”是唯一也是最好的办法。
勒索病毒防治方法：HKCERT提出了一些避免受勒索软件影响的建议：
Tips 1. 删除收到的可疑电邮，尤其是包含链接或附件的。
2. 部份微软Office档案会要求用户启动“宏”以观看其内容，对此类电邮附件必须提高警觉。
3. 定期备份电脑上的档案。
4. 确保更新电脑上的入侵防护保安软件。
5. 保持更新操作系统及其他软件。
6. 一旦受到感染，马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。
7. 不建议支付赎金。
8. 下载软件使用手机、电脑的官方软件下载平台。

360企业安全天擎团队提供的针对“永恒之蓝”勒索蠕虫所利用漏洞的修复工具。运行该工具后，会自动检测系统是否存在相关漏洞，并提供修复方法。

介绍：http://b.360.cn/other/onionwormfix
下载地址：http://down.b.360.cn/EternalBlueFix.zip

md5:3546C6F87914282C0A03696997ADBE42
sha1:A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
sha256:9F7FCE9B15EE65AF1349C74C8AB200C9AD6C0C45C74E3945F0D4B333AF264207

病毒免疫预防措施

360企业安全天擎团队提供的系统免疫工具；在电脑上运行以后，现有蠕虫将不会感染系统。

介绍：http://b.360.cn/other/onionwormimmune
下载地址：http://dl.b.360.cn/tools/OnionWormImmune.exe

版本：1.0.0.1015
MD5:90cb913660d2f8abb23d8176bafc34ec
sha1:6ae5667431b56a615c2a1987f78836312aa0128d
sha256:2d34be95dd7487670bb39cfd1d16cf74d2dfda22d7e450486968b1a563767e97

此工具有以下两种免疫方式：

基本免疫

通过抢占WannaCry勒索蠕虫运行时创建的内核对象，迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。

增强免疫

除了基本免疫功能外，根据《WanaCrypt0r勒索蠕虫完全分析报告》，还可通过劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。

操作方法如下：

• 在内网服务器中部署http server，在http://nginx.org/en/download.html中下载运行http server;
• 查看http server所在服务器的ip,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为“OnionWormImmune(xxx.xxx.xxx.xxx).exe”， 其中“xxx.xxx.xxx.xxx”为http server IP地址;
• 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果；
  

其他预防措施

1.启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。利用系统防火墙高级设置阻止向445端口进行连接。
2.使用自动更新升级到Windows的最新版本。
3.在内外网边界出口禁止外网对内网135/137/139/445端口的连接；
4.在网络核心主干交换路由设备禁止135/137/139/445端口的连接。
5.定期对电脑内重要文件资料进行备份。

临时建议：

防火墙上阻断445端口的访问；
暂时关闭Server服务；
尽快升级；
强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。

病毒查杀方法

360企业安全天擎团队提供的针对永恒之蓝”勒索蠕虫（wannacry蠕虫）的专杀工具。

介绍：http://b.360.cn/other/onionwormkiller
下载地址：http://dl.b.360.cn/tools/wanaKiller.exe

MD5:2fb6554ccc930533b8492c7c36780a89
sha1:9ceefdd65c1021ac2ffd7207026f165cca0fa8d0
sha256:e91b82790b5a8d9a20e743b9ed1c188db7083c0d7b2257ce21f1f3e20895d371

文件恢复方法

介绍：http://weibo.com/ttarticle/p/show?id=2309404107129664487886

360首发勒索蠕虫病毒文件恢复工具：http://dl.360safe.com/recovery/RansomRecovery.exe

WNCRY病毒疯狂攻击全球上百个国家，无数宝贵资料被病毒加密，甚至有大学生毕业论文被锁死。360深入分析病毒原理，发现有可能恢复一定比例文件的急救方案，成功概率会受到文件数量等多重因素影响，详细教程见本文。越早操作，成功率越高！！

1.首先安装360安全卫士，选择漏洞修复，打好安全补丁，预防再次被攻击

2.使用360木马查杀功能，清除全部木马，防止反复感染。


3.下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
下载地址： http://dl.360safe.com/recovery/RansomRecovery.exe
选择加密文件所在驱动器

扫描后，选择要恢复的文件

强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上