关闭 More 保存 重做 撤销 预览

   
关闭   当前为简洁模式,您可以更新模块,修改模块属性和数据,要使用完整的拖拽功能,请点击进入高级模式
OD体育 OD体育
重播

上一主題 下一主題
»
黑哥
LV1 初心者
帖子    13
新博币    1 提现
提现    0
TA的勋章:勋章中心
     
    3672 0 | 显示全部楼层 |倒序浏览
    WannaCry勒索病毒文件攻击流程:

    勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。

    其中u.wnry*就是后续弹出的勒索窗口。

    窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

    通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

    以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

    此时如果点击勒索界面的decrypt,会弹出解密的框。

    但必须付钱后,才可以解密

    115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
    12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
    13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
    作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。
    精彩视频

    WannaCry 2.0病毒查杀修复工具功能:1、查杀最新的比特币勒索病毒
    2、帮助用户恢复勒索病毒文件
    3、预防勒索病毒侵入
    勒索病毒是什么:
    所谓“勒索病毒”,是黑客用来攻击用户计算机,对计算机内部的信息、资源进行加密,并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付,目的在于隐蔽黑客身份。据了解,按照“汇率”,1比特币约等于582美元。
    根据美国政府的统计,在美国国内,单单2016年,“勒索软件”攻击发生的频率就激增了300%,几乎每天都有4000件此类勒索案件发生,其危害程度绝对不容忽视。
    “勒索病毒”蔓延迅猛,一旦受到感染,用户会陷入无处脱逃的困境,是否支付赎金是一个两难的问题,所以“预防”是唯一也是最好的办法。
    勒索病毒防治方法:HKCERT提出了一些避免受勒索软件影响的建议:
    Tips 1. 删除收到的可疑电邮,尤其是包含链接或附件的。
    2. 部份微软Office档案会要求用户启动“宏”以观看其内容,对此类电邮附件必须提高警觉。
    3. 定期备份电脑上的档案。
    4. 确保更新电脑上的入侵防护保安软件。
    5. 保持更新操作系统及其他软件。
    6. 一旦受到感染,马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。
    7. 不建议支付赎金。
    8. 下载软件使用手机、电脑的官方软件下载平台。
    360企业安全天擎团队提供的针对“永恒之蓝”勒索蠕虫所利用漏洞的修复工具。运行该工具后,会自动检测系统是否存在相关漏洞,并提供修复方法。
    md5:3546C6F87914282C0A03696997ADBE42
    sha1:A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
    sha256:9F7FCE9B15EE65AF1349C74C8AB200C9AD6C0C45C74E3945F0D4B333AF264207
    病毒免疫预防措施
    360企业安全天擎团队提供的系统免疫工具;在电脑上运行以后,现有蠕虫将不会感染系统。
    版本:1.0.0.1015
    MD5:90cb913660d2f8abb23d8176bafc34ec
    sha1:6ae5667431b56a615c2a1987f78836312aa0128d
    sha256:2d34be95dd7487670bb39cfd1d16cf74d2dfda22d7e450486968b1a563767e97
    此工具有以下两种免疫方式:
    基本免疫
    通过抢占WannaCry勒索蠕虫运行时创建的内核对象,迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。
    增强免疫
    除了基本免疫功能外,根据《WanaCrypt0r勒索蠕虫完全分析报告》,还可通过劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。
    操作方法如下:
    • 在内网服务器中部署http server,在http://nginx.org/en/download.html中下载运行http server;
    • 查看http server所在服务器的ip,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为“OnionWormImmune(xxx.xxx.xxx.xxx).exe”, 其中“xxx.xxx.xxx.xxx”为http server IP地址;
    • 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果;
    其他预防措施
    1.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。利用系统防火墙高级设置阻止向445端口进行连接。
    2.使用自动更新升级到Windows的最新版本。
    3.在内外网边界出口禁止外网对内网135/137/139/445端口的连接;
    4.在网络核心主干交换路由设备禁止135/137/139/445端口的连接。
    5.定期对电脑内重要文件资料进行备份。
    临时建议:
    防火墙上阻断445端口的访问;
    暂时关闭Server服务;
    尽快升级;
    强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
    病毒查杀方法
    360企业安全天擎团队提供的针对永恒之蓝”勒索蠕虫(wannacry蠕虫)的专杀工具。
    MD5:2fb6554ccc930533b8492c7c36780a89
    sha1:9ceefdd65c1021ac2ffd7207026f165cca0fa8d0
    sha256:e91b82790b5a8d9a20e743b9ed1c188db7083c0d7b2257ce21f1f3e20895d371
    文件恢复方法
    360首发勒索蠕虫病毒文件恢复工具:http://dl.360safe.com/recovery/RansomRecovery.exe
    WNCRY病毒疯狂攻击全球上百个国家,无数宝贵资料被病毒加密,甚至有大学生毕业论文被锁死。360深入分析病毒原理,发现有可能恢复一定比例文件的急救方案,成功概率会受到文件数量等多重因素影响,详细教程见本文。越早操作,成功率越高!!
    1.首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击

    2.使用360木马查杀功能,清除全部木马,防止反复感染。


    3.下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
    下载地址: http://dl.360safe.com/recovery/RansomRecovery.exe
    选择加密文件所在驱动器
    扫描后,选择要恢复的文件

    强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上

    个人签名

    点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 淡定 生气 回帖 路过 感动 感恩
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    博牛推荐上一条 /2 下一条

    快速回复 返回顶部 返回列表