【转】关于WannaCry勒索蠕虫的安全预警

【转载】如有侵权或者风险，请及时联系我，我会删除。

 

自5月12日起一款名为 WannaCry 的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。目前国内多家企事业单位相继被攻陷，其中包括中石油加油站、浙江传媒大学、中国计量学院、贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。

一、什么是勒索软件？

勒索软件是一种特殊的恶意软件（又被人归类为阻断访问式攻击, denial-of-access attack），其与其他病毒最大的不同在于手法, 其主要的攻击手段分为以下两种:

• 单纯地将受害者的电脑锁起来；
• 系统性地加密受害者硬盘上的文件。

所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回被加密的数据与文件。勒索软件通常通过木马病毒的形式传播，其将自身掩盖为看似无害的文件。

二、什么是蠕虫？

这里的蠕虫是指计算机蠕虫，其与计算机病毒相似，是一种能够自我复制的计算机程序，具有极强的传播性。

传播过程：蠕虫程序常驻于一台或多台机器中，通常它会扫描其他机器是否有感染同种计算机蠕虫，如果没有，就会通过其内建的传播手段进行感染，以达到使计算机瘫痪的目的。其通常会以宿主机器作为扫描源。通常采用：垃圾邮件、漏洞传播这2种方法来传播。

三、WannaCry危害与传播方式

1. 危害

计算机感染 WannaCry 后，该勒索软件首先会尝试连接www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(IP地址：144.217.254.3)域名，如果可正常连接，即软件自动退出，不进行后续的加密操作。如果访问不成功则会搜索系统如下文件并进行加密。

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

攻击者声称用户需要支付300~600美元的比特币才可以解锁，其实当你支付赎金后也未必会找回被加密的文件。

2. 传播方式

目前主要传布方式为邮件附件或者访问恶意链接。

四、如何防范WannaCry攻击

WannaCry 主要是利用 Windows 系统 MS17-010 漏洞进行攻击与传播。

• 关闭445端口，防止“永恒之蓝”利用开启端口进行攻击（关闭步骤见下方）
• 更新补丁Microsoft Windows SMB 服务器安全更新 (4013389) ，地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
• 使用360安全卫士的“NSA武器库免疫工具”进行补丁升级，下载地址：http://dl.360safe.com/nsa/nsatool.exe 

1. Win7、Win8、Win10 关闭445端口的处理流程

（1）关闭网络或拨掉网线

（2）打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

（3）选择启动防火墙，并点击确定

（4）点击高级设置

（5）点击入站规则，新建规则，以445端口为例

（6）选择端口、下一步

（7）选择特定本地端口，输入445，下一步

（8）选择阻止连接，下一步

（9）配置文件，全选，下一步

（10）名称，可以任意输入，完成即可

（11）请安装MS17-010 补丁，微软已经发布winxp_sp3 至win10、win2003 至win2016 的全系列补丁。 下载地址：https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0

（12） 开启系统自动更新，并检测更新进行安装

（13） Win7系统需要关闭Server服务才能够禁用445端口的连接

需要操作系统的server服务关闭，依次点击“开始”，“运行”，输入services.msc，进入服务管理控制台。

双击Server，先停用，再选择禁用。最后重启win7。

 

使用netstat –an查看445端口不存在了。

注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。

2. WinXP系统的处理流程

（1）依次打开控制面板，安全中心，Windows防火墙，选择启用

（2）通过注册表关闭445端口，单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。

（3）找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

（4）将DWORD值命名为“SMBDeviceEnabled”，值修改为0。

（5）重启机器，查看445端口连接已经没有了。

（6）鉴于本次Wannacry蠕虫事件的影响恶劣，微软总部决定对已停服的XP和部分服务器版本发布特别补丁 微软公告详情:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

五、文件被加密了怎么办

目前暂无解密方式

六、总结

针对此次安全事件，我们需要做到如下：

1. 保证系统补丁及时更新。
2. 不随便打开陌生人发来的邮件附件或链接。
3. 重要文件请及时备份。