勒索病毒W(wǎng)annaCry 2.0變種專殺工具,一個名位WannaCry的電腦勒索病毒在全球范圍內(nèi)肆虐,小編再次提醒大家做好防范措施,確保公司電腦未感染病毒,避免周一集體上班電腦大淪陷,現(xiàn)提供一份周一開機指南。
周一開機指南
第一步:
個人用戶在斷網(wǎng)狀態(tài)下,在C:\Windows\System32\drivers\etc\hosts中手動加入如下文字:
“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 220.181.57.217”(不帶引號)
原理很簡單,把地址解析到百度網(wǎng)站上,欺騙病毒認為成功連接上服務(wù)器,從而達到免疫滅活目的。
而對于公司用戶則更加方便,只要網(wǎng)管人員先在隔離網(wǎng)中建立免疫域名,搭建內(nèi)部解析服務(wù)?梢酝ㄟ^在內(nèi)部網(wǎng)絡(luò)搭建DNS Server,將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到內(nèi)網(wǎng)WEB Server的IP地址,同時WEB Server接受該域名的連接請求,從而實現(xiàn)免疫。那么連接到公司的所有電腦都能實現(xiàn)免疫效果,快捷簡單。
第二步:
當然這僅僅是前期避免感染病毒做法,免疫成功后還是需要及時打補丁,修復SMB漏洞,避免新變種病毒有機可乘,可以使用諸如360 NSA武器庫免疫工具、瑞星“永恒之藍”免疫工具。之所以推薦這類型工具,因為簡單易操作,一鍵即可以完成相關(guān)操作,方便了很多什么都不懂的電腦小白。如果你動手能力強,也可以自行操作(開啟系統(tǒng)防火墻、創(chuàng)建新規(guī)則禁用相關(guān)445網(wǎng)絡(luò)端口),這里就不詳細說明了。
WannaCry勒索病毒文件攻擊流程
勒索病毒被漏洞遠程執(zhí)行后,會從資源文件夾下釋放一個壓縮包,此壓縮包會在內(nèi)存中通過密碼:WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,并設(shè)置為隱藏。
其中u.wnry*就是后續(xù)彈出的勒索窗口。
窗口右上角的語言選擇框,可以針對不同國家的用戶進行定制的展示。這些字體的信息也存在與之前資源文件釋放的壓縮包中。
通過分析病毒,可以看到,以下后綴名的文件會被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
以圖片為例,查看電腦中的圖片,發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過Windows Crypto API進行AES+RSA的組合加密。并且后綴名改為了*.WNCRY
此時如果點擊勒索界面的decrypt,會彈出解密的框。
但必須付錢后,才可以解密
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
作者目前是通過這三個賬號隨機選取一個作為錢包地址,收取非法錢財。
相關(guān)資訊
國內(nèi)多家單位遭病毒攻擊
5月12日晚,WannaCry勒索病毒在全球多個國家蔓延,國內(nèi)多所高校的網(wǎng)絡(luò)遭受到勒索病毒的攻擊,大量學生畢業(yè)論文等重要資料被病毒加密,只有支付贖金才能恢復。
昨日,北青報記者了解到,受到該病毒影響的不僅僅是校園網(wǎng),還包括部分企事業(yè)單位。
據(jù)一名中國聯(lián)通鄭州分公司的工作人員稱,5月14日,因為受到比特幣勒索病毒的影響,單位電腦全部癱瘓。
5月13日,響水公安局出入境辦事處發(fā)布消息稱,因公安網(wǎng)遭遇新型病毒攻擊,暫時停辦出入境業(yè)務(wù),具體恢復時間等待通知。
“弄了一宿,數(shù)據(jù)也沒有恢復過來!弊蛱,山東的一名民警告訴北青報記者,受到勒索病毒影響,單位存儲資料的電腦被鎖定,學習計算機專業(yè)的他最終也只能束手無策。
中石油部分加油站受影響
同樣受影響的還有中國石油加油站。昨日,中國石油在其官網(wǎng)中發(fā)布公告稱,5月12日22點30分左右,因全球比特幣勒索病毒爆發(fā),公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網(wǎng)絡(luò)支付功能無法使用。不過,加油及銷售等基本業(yè)務(wù)運行正常,加油卡賬戶資金安全不受影響。
昨日下午,北青報記者與北京地區(qū)五個中國石油加油站取得了聯(lián)系。
其中中國石油首汽12號加油站的工作人員表示,13日起,因為受到新型病毒的影響,加油站的手機支付、加油卡支付等多種支付方式均受到影響,雖然上午進行了緊急搶修,但仍存在網(wǎng)絡(luò)不穩(wěn)定的情況。中國石油國門加油站的工作人員告訴北青報記者,截至下午4點,國門加油站仍只接受現(xiàn)金支付或國門加油站的加油卡支付費用。
中國石油昨天下午表示,根據(jù)現(xiàn)場驗證過的技術(shù)解決方案,開始逐站實施恢復工作。80%以上加油站已經(jīng)恢復網(wǎng)絡(luò)連接,受病毒感染的加油站正在陸續(xù)恢復加油卡、銀行卡、第三方支付功能。
中國石油大湖山莊西南、中國石油東鵬加油站、中國石油京順加油站的工作人員告訴北青報記者,已經(jīng)在中午前恢復了手機支付和加油卡支付的功能。
病毒傳播一度被意外攔阻
來自英國的消息似乎為戰(zhàn)勝勒索病毒帶來了一絲希望。
英國媒體13日報道,一名22歲的英國網(wǎng)絡(luò)工程師12日晚注意到,這一勒索病毒正不斷嘗試進入一個極其特殊、尚不存在的網(wǎng)址,于是他順手花8.5英鎊(約合75元人民幣)注冊了這個域名,試圖借此網(wǎng)址獲取勒索病毒的相關(guān)數(shù)據(jù)。
令人不可思議的是,此后勒索病毒在全球的進一步蔓延竟然得到了阻攔。
這名工程師和同事分析,這個奇怪的網(wǎng)址很可能是勒索病毒開發(fā)者為避免被網(wǎng)絡(luò)安全人員捕獲所設(shè)定的“檢查站”,而注冊網(wǎng)址的行為無意觸發(fā)了程序自帶的“自殺開關(guān)”。
也就是說,勒索病毒在每次發(fā)作前都要訪問這個不存在的網(wǎng)址,如果網(wǎng)址繼續(xù)不存在,說明勒索病毒尚未引起安全人員注意,可以繼續(xù)在網(wǎng)絡(luò)上暢行無阻;而一旦網(wǎng)址存在,意味著病毒有被攔截并分析的可能。
在這種情況下,為避免被網(wǎng)絡(luò)安全人員獲得更多數(shù)據(jù)甚至反過來加以控制,勒索病毒會停止傳播。
勒索病毒已經(jīng)出現(xiàn)新變種
意外攔阻勒索病毒的英國網(wǎng)絡(luò)工程師和一些網(wǎng)絡(luò)安全專家都表示,這種方法目前只是暫時阻止了勒索病毒的進一步發(fā)作和傳播,但幫不了那些勒索病毒已經(jīng)發(fā)作的用戶,也并非徹底破解這種勒索病毒。
他們推測,新版本的勒索病毒很可能不帶這種“自殺開關(guān)”而卷土重來。這種推測果然很快成為現(xiàn)實。
昨天國家網(wǎng)絡(luò)與信息安全信息通報中心緊急通報:監(jiān)測發(fā)現(xiàn),在全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒出現(xiàn)了變種:WannaCry 2.0, 與之前版本的不同是,這個變種不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播,該變種傳播速度可能會更快。