比特派钱包官网下载|wanacry

WannaCry_百度百科

aCry_百度百科 网页新闻贴吧知道网盘图片视频地图文库资讯采购百科百度首页登录注册进入词条全站搜索帮助首页秒懂百科特色百科知识专题加入百科百科团队权威合作下载百科APP个人中心收藏查看我的收藏0有用+10WannaCry播报讨论上传视频一种“蠕虫式”的勒索病毒软件WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播 [1]。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 [2]勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。 [3]中文名永恒之蓝外文名WannaCry别    名Wanna Decryptor爆发时间2017年5月12日关联病毒熊猫烧香影响领域金融，能源，医疗等目录1病毒概况2攻击特点3攻击类型4阻止方法5调查处理6波及范围▪国内▪国外病毒概况播报编辑2017年4月16日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警：工具名称主要用途ETERNALROMANCESMB 和NBT漏洞，对应MS17-010漏洞，针对139和445端口发起攻击，影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2EMERALDTHREADSMB和NETBIOS漏洞，对应MS10-061漏洞，针对139和445端口，影响范围：Windows XP、Windows 2003EDUCATEDSCHOLARSMB服务漏洞，对应MS09-050漏洞，针对445端口ERRATICGOPHERSMBv1服务漏洞，针对445端口，影响范围：Windows XP、 Windows server 2003，不影响windows Vista及之后的操作系统ETERNALBLUESMBv1、SMBv2漏洞，对应MS17-010，针对445端口,影响范围：较广，从WindowsXP到Windows 2012ETERNALSYNERGYSMBv3漏洞，对应MS17-010，针对445端口，影响范围：Windows8、Server2012ETERNALCHAMPIONSMB v2漏洞，针对445端口当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复 [4]。WannyCry病毒界面WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。（#注释：说明一下，“永恒之蓝”是NSA泄露的漏洞利用工具的名称，并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。 [5]）2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。受害者电脑被黑客锁定后，病毒会提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。2017年5月13日晚间，由一名英国研究员于无意间发现的WannaCry隐藏开关（Kill Switch）域名，意外的遏制了病毒的进一步大规模扩散。2017年5月14日，监测发现，WannaCry 勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染 [6]。攻击特点播报编辑WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。 [7]。攻击类型播报编辑常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）开发者使用的源代码和项目文件（.php、.java、.cpp、.asp、.asm）密匙和证书（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）虚拟机文件（.vmx、.vmdk、.vdi）阻止方法播报编辑安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。临时解决方案：开启系统防火墙利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）打开系统自动更新，并检测更新进行安装Win7、Win8、Win10的处理流程1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。2、选择启动防火墙，并点击确定3、点击高级设置4、点击入站规则，新建规则5、选择端口，下一步6、特定本地端口，输入445，下一步7、选择阻止连接，下一步8、配置文件，全选，下一步9、名称，可以任意输入，完成即可。XP系统的处理流程1、依次打开控制面板，安全中心，Windows防火墙，选择启用2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt [8]调查处理播报编辑欧洲警察署正在与美国联邦调查局(FBI)合作展开调查。英国国家犯罪局正在与欧洲刑警组织以及英国政府通信总部(GCHQ)的国家网络安全中心进行合作，追踪犯罪者。虽然下黑手者还找不到，但其所用的工具，却明确无误地指向了一个机构——NSA（National Security Agency），美国国家安全局。这一机构又称国家保密局，隶属于美国国防部，是美国政府机构中最大的情报部门，专门负责收集和分析外国及本国通讯资料。黑客所使用的“永恒之蓝”，就是NSA针对微软MS17-010漏洞所开发的网络武器。NSA本身手里握有大量开发好的网络武器，但在2013年6月，“永恒之蓝”等十几个武器被黑客组织“影子经纪人”（ShadowBreakers）窃取。2017年3月，微软已经放出针对这一漏洞的补丁，但是一是由于一些用户没有及时打补丁的习惯，二是全球仍然有许多用户在使用已经停止更新服务的WindowsXP等较低版本，无法获取补丁，因此在全球造成大范围传播。加上“蠕虫”不断扫描的特点，很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染 [1]。波及范围播报编辑国内2017年5月12日晚，中国大陆部分高校学生反映电脑被病毒攻击，文档被加密。病毒疑似通过校园网传播。随后，山东大学、南昌大学、广西师范大学、东北财经大学等十几家高校发布通知，提醒师生注意防范。除了教育网、校园网以外，新浪微博上不少用户反馈，北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。 [9]中石油所属部分加油站运行受到波及。5月13日，包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网，因断网无法刷银行卡及使用网络支付，只能使用现金，加油站加油业务正常运行。 [10]截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。2017年5月15日，珠海市公积金中心下发了《关于5月15日暂停办理住房公积金业务的紧急通知》，为有效应对Windows操作系统敲诈者病毒在互联网和政企专网大面积蔓延，对住房公积金业务数据和服务终端资料可能造成的安全威胁，珠海市住房公积金管理中心决定加固升级内外网络，暂停办理所有住房公积金业务。 [11]陕西部分地市的交通管理网络也受到了勒索病毒爆发的影响，暂停了业务办理 [12]。此外，部分地区因“系统维护”发布相关通知，暂停办理交管、出入境等业务。2018年8月3日，台积电遭遇到勒索病毒Wanna Cry入侵，导致台积电厂区全线停摆。主词条：台积电病毒门 [13]2022年，温州市一家超市收银台的储值卡电脑管理系统遭“比特币勒索病毒”攻击，无法使用，商家被要求支付比特币后才能恢复。1月12日从温州市公安局鹿城区分局了解到，警方已以非法侵入计算机信息系统受案立案。 [16]国外俄罗斯：内政部称约1000台Windows计算机遭到攻击，但表示这些计算机已经从该部门计算机网络上被隔离。英国：2017年5月13日，全球多地爆发“WannaCry”勒索病毒，受影响的包括英国16家医院（截止北京时间5月13日5点）。 [14-15]朝鲜：在这大范围的攻击下逃过一劫，守住了一方净土。日本：日本警察厅当天表示在该国国内确认了2起，分别为某综合医院和个人电脑感染病毒，并未造成财产损失。尚不清楚日本的案例是否包含在这150个国家中。西班牙：国家情报中心证实，西班牙多家公司遭受了“大规模”的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。新手上路成长任务编辑入门编辑规则本人编辑我有疑问内容质疑在线客服官方贴吧意见反馈投诉建议举报不良信息未通过词条申诉投诉侵权信息封禁查询与解封©2024 Baidu 使用百度前必读 | 百科协议 | 隐私政策 | 百度百科合作平台 | 京ICP证030173号 京公网安备110000020000

勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎

勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节 - 知乎切换模式写文章登录/注册勒索病毒WannaCry深度技术分析—— 详解传播、感染和危害细节火绒安全​已认证账号一、综述5月12日，全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”（EternalBlue）在世界范围内爆发，据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击，有的单位甚至“全军覆没”，损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度，逐一厘清这个恶性病毒方方面面的真相，用以帮助大家认识、解决该病毒，防范未来可能出现的变种病毒，同时澄清一些谣传和谎言。病毒攻击行为和结果遭受WannaCry病毒侵害的电脑，其文件将被加密锁死，惯常来说，受害用户支付赎金后可以获得解密密钥，恢复这些文件。但是根据火绒工程师的分析，遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷，即病毒作者无法明确认定哪些受害者支付了赎金，因此很难给相应的解密密钥，所以用户即使支付了赎金，也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。至于网上流传的各种“解密方法”，基本上是没用的，请大家切勿听信谎言，以防遭受更多财产损失。一些安全厂商提供的“解密工具”，其实只是“文件恢复工具”，可以恢复一些被删除的文件，但是作用有限。因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数据的可能性会显著降低。传播途径和攻击方式据火绒实验室技术分析追溯发现，该病毒分蠕虫部分及勒索病毒部分，前者用于传播和释放病毒，后者攻击用户加密文件。其实，蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播，具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的Windows SMB远程漏洞利用工具“永恒之蓝”来进行传播的。据悉，蠕虫代码运行后先会连接域名：hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接，则直接停止。而如果上述域名无法访问，则会安装病毒服务，在局域网与外网进行传播。但是无论这个“神奇开关”是否开启，该病毒都会攻击用户，锁死文件。另外，这个开关程序很容易被病毒制造者去除，因此未来可能出现没有开关的变种病毒。易受攻击用户群目前看来，该病毒的受害者大都是行业机构和大型企业，互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度，来说明容易受到攻击的用户群。首先，该病毒只攻击Windows系统的电脑，几乎所有的Windows系统如果没有打补丁，都会被攻击。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本，用户如果开启了自动更新或安装了对应的更新补丁，可以抵御该病毒。Windows10是最安全的，由于其系统是默认开启自动更新的，所以不会受该病毒影响。同时，Unix、Linux、Android等操作系统，也不会受到攻击。同时，目前这个病毒通过共享端口传播同时在公网及内网进行传播，直接暴露在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染，而通过路由拨号的个人和企业用户，则不会受到来自公网的直接攻击。火绒将持续追杀WannaCry目前，对抗“蠕虫”勒索软件攻击的行动仍未结束，在此，火绒安全专家提醒广大用户无需过度担心，“火绒安全软件”已迅速采取措施，完成紧急升级，通过火绒官网下载软件，升级到最新版本即可防御、查杀该病毒。自5月12日，WannaCry病毒一出，各机构和用户人心惶惶，草木皆兵，日前更是出现了2.0新变种等耸人听闻的言论。截止到今日，火绒已经收集到的所谓的“WannaCry”最新版本的“变种”，但通过对比分析发现，该“变种“有明显的人为修改痕迹，是好事者在造谣蹭热度。火绒实验室可以负责任地告诉大家，目前还没有出现新版本变种。而日后病毒是否会变异出现新“变种”？火绒实验室将持续跟踪新的病毒变种，一旦遇到新变种会随时升级产品。火绒产品默认自动升级，请广大用户放心使用，无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本，然后覆盖安装内网电脑即可。此次勒索病毒WannaCry传播速度快，影响范围广，是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言，是一次极大的考验，“安全”重回主流势在必行，同时也促进了全社会对网络安全意识的提升。二、样本分析该病毒分为两个部分：（1） 蠕虫部分，用于病毒传播，并释放出勒索病毒。（2） 勒索病毒部分，加密用户文件索要赎金。2.1 蠕虫部分详细分析：2.1.1 蠕虫代码运行后先会连接域名：hxxp://http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名可以成功连接，则直接退出。关于这个“Kill Switch”的存在网络上众说纷纭，我们认为相对可靠的解释是：开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器，但是除了看到几个人为修改“Kill Switch”的样本外，该病毒并没有批量生成、混淆的迹象。另外，如果真是为了对抗安全软件沙箱，和以往对抗沙箱的样本比起来，这段代码过于简单，而且出现的位置也过于明显。所以，放置这样一个“低级”的“Kill Switch”具体出于何种原因，恐怕只有恶意代码作者能够解释了。2.1.2 如果上述域名无法访问，则会安装病毒服务，服务的二进制文件路径为当前进程文件路径，参数为：-m security，并启动服务。2.1.3 释放资源到C:\WINDOWS目录下的tasksche.exe（该程序是勒索病毒），并将其启动。2.1.4 蠕虫病毒服务启动后，会利用MS17-010漏洞传播。传播分为两种渠道，一种是局域网传播，另一种是公网传播。如下图所示：局域网传播主要代码如下图：病毒会根据用户计算机内网IP，生成覆盖整个局域网网段表，然后循环依次尝试攻击。相关代码如下： 公网传播主要代码如下图，病毒会随机生成IP地址，尝试发送攻击代码。 SMB漏洞攻击数据包数据，如下图所示：Worm病毒的PE文件中包含有两个动态库文件，是攻击模块的Payload，分别是：x86版本的payload，大小0x4060和x64版本的payload，大小0xc8a4。两个Payload都是只有资源目录结构没有具体资源的无效PE动态库文件。病毒在攻击前，会构造两块内存，在内存中分别组合Payload和打开Worm病毒自身，凑成有效攻击Payload，代码如下图所示：有效攻击Payload模型如下：完整的攻击Payload的资源如下图，资源中的第一个DWORD是病毒大小，之后就是病毒本身。然后使用MS17-010漏洞，通过APC方式注入动态库到被攻击计算机的Lsass.exe，并执行Payload动态库的导出函数PlayGame，该函数非常简单，功能就是释放资源“W”到被攻击计算机“C:Windows\mssecsvc.exe”，并执行，如下图所示：火绒剑监控被攻击计算机的如下：被攻击的计算机包含病毒的完整功能，除了会被勒索，还会继续使用MS17-010漏洞进行传播，这种传播呈几何级向外扩张，这也是该病毒短时间内大规模爆发的主要原因。如下图：目前，攻击内网IP需要用户计算机直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响，因此那些通过路由拨号的个人用户，并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的，那么企业网络中的电脑也不会受到来自公网的直接攻击。但是，现实中一些机构的网络存在直接连接公网的电脑，且内部网络又类似一个大局域网，因此一旦暴露在公网上的电脑被攻破，就会导致整个局域网存在被感染的风险。2.2 勒索病毒部分详细分析：2.2.1 该程序资源中包含带有密码的压缩文件，使用密码“WNcry@2ol7”解压之后释放出一组文件：a)taskdl.exe，删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。b)taskse.exe，以任意session运行指定程序。c)u.wnry，解密程序，释放后名为@WanaDecryptor@.exe。d)b.wnry勒索图片资源。e)s.wnry，包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”，需要通过tor.exe和服务器进行通信。f)c.wnry，洋葱路由器地址信息。g)t.wnry，解密后得到加密文件主要逻辑代码。h)r.wnry，勒索Q&A。2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下：icacls . /grant Everyone:F /T /C /Q2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库，通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。调用勒索动态库代码，如下图所示：勒索主逻辑执行，先会导入一个存放在镜像中的RSA公钥，之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出，再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密，存放在00000000.eky如下图所示：如果遍历到的文件扩展名在欲加密的文件扩展名列表中，如下图所示：则会将当前文件路径加入到文件操作列表中，在遍历文件结束后一并进行文件操作。代码如下图：对于每个需要加密的文件，都会调用CryptGenRadom随机生成AES密钥，之后使用Session Key中的RSA公钥对AES密钥进行加密，存放在加密后的数据文件头中，之后将原始文件数据用该AES密钥进行加密。如下图所示：整体加密流程，如下图所示：因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数据的可能性会显著降低。三、关于“WannaCry”新变种的说明早期版本的“WannaCry”病毒存在“Kill Switch”开关，也就是病毒中检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问的代码片段，如果可以访问则不会利用“永恒之蓝”漏洞继续传播。现在这个域名已经被注册，这个版本“WannaCry”传播功能等于已经关闭，因为这段代码本身没有加密，所以很可能会被得到改病毒样本的“骇客”修改，放开开关，使病毒继续传播。截止到今日，火绒已经收集到的所谓“WannaCry”最新版本的“变种”，正如我们推测的一样，网上两个“热炒"变种, SHA256分别为：32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cfc8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6和早期的“WannaCry”相比SHA256：24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c有明显人为修改痕迹，如下图所示：这个样本仅仅是16进制修改了两个字节，让"Kill Switch"失效，这个修改不会影响火绒的检测。另外一个样本除了修改了"Kill Switch"域名，还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了，无法运行。如下图：除了以上两个样本，火绒还截获另一个人为修改的” WannaCry “样本，同样被修改的不能运行，火绒依然可以检测。SHA256如下：99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4 截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样本。四、附录样本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发布于 2017-05-16 16:33Wana Decrypt0r 2.0（计算机病毒）勒索病毒计算机病毒​赞同 353​​41 条评论​分享​喜欢​收藏​申请

Wannacry一周年·Wannacry什么鬼（回顾自用） - 知乎

Wannacry一周年·Wannacry什么鬼（回顾自用） - 知乎切换模式写文章登录/注册Wannacry一周年·Wannacry什么鬼（回顾自用）沙之濡声成全所有，一无所获，怖死惊伤，种得喜乐楔子 说起512，你会想到什么呢？ 这是一个奇妙的数字，它是第54个自我数、它是2的九次方、它的二进制形式是1000000000、八进制是1000、它通常是硬盘一个Block的字节数、5.12是国际护士节、5.12曾经发生过汶川大地震。 而离我们最近的一个，则是2017年5月12日，一个堪比梅丽莎、千禧年、CIH、求爱信、飞客、红色代码的病毒在全球爆发，超过150个国家的200000台电脑遭到感染，并造成了数十亿美金的巨大损失，引领了一个病毒种类的命名，并几乎将自己与这个病毒种类等同。 在国内，对很多人来说，也许又会回忆起“上班不要开电脑”的恐惧，和被红色弹窗所支配的耻辱。 它就是被称为“想哭”的Wannacry病毒，一个从一年前的5月12日开始绵延至今，且仍不减势头，在很长时间内几乎等同于“勒索病毒”本身的超级病毒。 时值Wannacry一周年之际，来重新回顾这个曾经让人闻之色变的超级病毒，它是从哪里来，如今又向哪里去了？Wannacry的5W1H What：Wannacry，又名“想哭” Where：受影响的范围涉及全世界的150多个国家 When：爆发时间在2017年5月12日至14日，并且至今仍未停止 Who：全世界的所有Windows用户，尤其以Win7、XP等系统为主，主要使用这些系统的机构用户受灾严重 Why：以往的病毒盈利通常只是通过间接的盗取、贩卖资料，Wannacry将这种非法行为上升到勒索抢劫，获利模式更直接和粗暴 How:一种通过加密劫持用户文件，并以此勒索钱财的病毒Wannacry的谜团 作者成谜：抓捕Wannacry制作者的新闻层出不穷，然而至今没有一个确定的消息去证明Wannacry制作者的真身。 漏洞来源成谜：Wannacry通过永恒之蓝漏洞传播，永恒之蓝的披露直接来自神秘黑客组织“影子经纪人”，而这个组织与攻击伊朗核设施的黑客组织“方程式组织”的网络攻防，又牵涉到美国国家安全局NSA。 意图成谜：作为全世界最著名的勒索病毒，Wannacry其实对“勒索”并不专业，由于各种设计失误，Wannacry至今获利不过十余万美金，并且比特币钱包至今仍无人提取。勒索病毒的前世今生 其实，Wannacry并非首例勒索病毒，有据可查的首个勒索病毒应该是1989年的AIDS木马，这个木马由约瑟夫·波普（Joseph Popp）编写，会修改系统AUTOEXEC.BAT文件来监控系统启动次数，当第90次启动后就会加密系统所有文件的文件名，使系统无法正常启动，然后要求向一个名叫PC Cyborg的公司支付189美金以获取修复工具。 不过，滑稽的是，AIDS木马的编写极其失败，受害者根本不需要支付赎金，因为解密的秘钥就放在AIDS木马的代码里。安全公司制作的AIDS病毒专杀工具可以直接将秘钥提取出来，对加密的文件进行解密。 随后，勒索病毒还产生了各种创意天马行空的勒索方式，包括：非加密勒索模式的Winlock病毒，该病毒会锁死电脑，显示色情图片并要求发送一条高价收费短信（10美金）以获得解锁密码；以及逆向勒索模式，并非加密或者锁死受害者的电脑，而是窃取受害者的数据，通过威胁受害者“不支付赎金就把文件散播出去”以进行勒索。Wannacry≈勒索病毒？ 既然勒索病毒早在1989年就存在，也有着多种变化，为什么会说2017年的Wannacry几乎可以代表“勒索病毒”这一个病毒种类呢？ 说到这个，就不得不提到Wannacry所使用的传播途径：永恒之蓝（Eternal Blue）漏洞。 永恒之蓝是一个于2017年曝出，广泛存在于Windows所有主流系统中的严重漏洞，即使在高危漏洞中也堪称“核武器”。由于其利用方式简单，成功率高，漏洞存在广泛，与Wannacry所使用的蠕虫病毒（主动在网络中传播自己的一种病毒类型）结合后，造成的破坏力世所罕见——仅2017年5月，就有近百万台电脑感染了Wannacry，造成工作停摆、业务混乱带来的间接损失高达近百亿美金。 若非国外一名安全工作者在分析病毒时，随手注册了病毒的开关域名，从而终止了Wannacry病毒的传播，可以预见的是，这个损失恐怕还要再多上两三倍。 其次，随着近几年比特币等数字货币的大火，这种去中心化、极难追踪的交易方式让追索资金流动方向来揪出病毒制作者的方式变得近乎不可能。Wannacry的成功，极大地刺激了病毒制作者制作勒索病毒的获利动力，让Wannacry获得了“勒索病毒教科书”一般的地位。 因此，“Wannacry”之于勒索病毒正如当年的“小男孩”之于核武器，其地位足以代表“勒索病毒”，而提起“勒索病毒”的第一印象，也往往是“Wannacry”。Wannacry≠勒索病毒 但是，在另一方面说，Wannacry又是一个可以说不是勒索病毒的勒索病毒。 一个理所当然的逻辑是，勒索是为了获得钱财、获得钱财后进行消费才能展现钱财的交易价值。 但这个逻辑对于Wannacry却有点行不通——得益于数字货币的特性，所有人都可以查看比特币钱包的余额数，而Wannacry收款钱包的动向却有点魔幻。 一年以来，只有转入，没有转出。 而且，这“转入”也十分的可怜——总计只有区区十余万美金。与它在全球范围造成的损失相比，这个收益简直低到难以想象。 安全研究人员分析，这个席卷全球的数字灾难在各个环节都显露出，Wannacry并非是高明的行家作品，更像是一场草率的试验。 首先，Wannacry居然设置了一个明显的“杀戮开关”，极大影响了传播的效果；其次，Wannacry的比特币支付处理不熟练，收不到赎金、受到赎金无法解密等问题频频出现；最后，由于只使用了4个比特币钱包地址，让“跟踪货币流向来抓捕制作者”成为了可能。 勒索病毒的代表，却在勒索病毒最核心的“勒索”上如此业余，安全研究人员不得不猜测，也许Wannacry的目的只是为了宣示自己的力量——一种可以搅动整个互联网世界的力量。 Wannacry的爆发如同传奇故事般跌岩起伏，然而，如果深思其中的含义，却令人不寒而栗：假如一个草率、业余的病毒都能创造出一场如此可怕的网络灾难；那么当一个专业、老练的黑客团队想要以另一个“永恒之蓝”收割我们的数据财产时，网络世界中的我们又该何去何从？吾名军团,因吾等为数众多 "My name is legion for we are many." 吾名军团,因吾等为数众多。 这句话在《马可福音》5.9，耶稣见污鬼时，问污鬼的名，污鬼以此作答。不幸的是，勒索病毒这伙坏徒恶党也同样是结伴而行。 自从Wannacry之后，勒索病毒相关的攻击报告数量暴涨到之前的400%。其中除了占了绝大多数的Wannacry变种，许多之前仅在小范围传播的勒索病毒，也乘上了Wannacry和永恒之蓝的东风。 Petya：Petya首次发现是在2016年3月，仅在小范围造成了破坏，但是当Wannacry携永恒之蓝席卷全球之后，Petya也很快跟上，修改为使用永恒之蓝漏洞进行传播，并且由于Petya病毒的设计变动，即使支付赎金，也无法赎回文件。 Bad Rabbit：Bad Rabbit病毒出现在2017年10月，虽然并未使用永恒之蓝漏洞，Bad Rabbit的勒索方式却是与Wannacry如出一辙——加密文件表，要求使用比特币为赎金，并同样至今尚未发现制作者是谁。 Satan：Satan病毒可以说是低配版的Wannacry，同样勒索比特币、同样使用永恒之蓝漏洞，但是由于传播方式是通过邮件、漏洞、垃圾网站，其传播效率远远不如Wannacry的指数级增长那么可怕。互联网世界的核爆——永恒之蓝漏洞爆发 你也许会发现，有一个词语经常性的与Wannacry、或是其他勒索病毒联系在一起——永恒之蓝（Eternal Blue）。 永恒之蓝这个核弹级漏洞的披露，其实很有传奇色彩，它涉及到政府部门、黑客组织、网络武器、黑吃黑、非法网络产业等名词，若是稍经改变，就能当作一份剧情惊心动魄的大片剧本了。 故事开始自2016年，一伙叫做“影子经纪人”的神秘黑客组织成功黑掉了“方程式组织”，在不知情的人看来，这也许只是黑客网络世界中一起平凡的网络攻防战。 但是，“影子经纪人”随后就开始在网络上公开宣称，即将在2016年8月，拍卖一批来自“美国国家安全局（NSA）”的顶级黑客工具。 随着这个消息的扩散，人们惊讶地发现，被攻破的一方并非无名小卒，“方程式组织”竟然与美国国家安全局（NSA）有着千丝万缕的联系。而2010年攻击伊朗核设施、被认为是“第一例真正的网络武器”的震网病毒（Stuxnet），也正是出自该组织之手。 然而，“影子经纪人”的竞拍却不是很成功，分别在2016年8月以100万比特币（约5亿美金）竞拍、10月众筹10000比特币（约630万美金）、2017年1月以750比特币（约67500美金）部分出售，这些竞拍或售卖可能因为要价过高或者可信度不高等原因，都遭遇了无人购买的结局。 于是，在2017年4月8日，“影子经纪人”长文分享了一个“能解锁世界上所有加密文件的万能密码”后不足一周内，愤而释放出了数十个“方程式组织”黑客工具，经过网友解密后上传到GitHub网站后，一场网络大地震由此开始。 而永恒之蓝这个核弹级漏洞，就随着这批工具的释放，成为了一个随时待发的炸弹，并且随着Wannacry病毒制作者按下了按钮，让它的破坏力席卷了整个互联网。漏洞——信息安全的永恒之殇 在哲学上，有一个很有趣的思想悖论——假设忒修斯的船上的木头被逐渐替换，直到所有的木头都不是原来的木头，那这艘船还是原来的那艘船吗？ 如果将这个思想悖论放在电脑上，将桌面系统看作是一艘忒修斯之船。可以开玩笑的说，“漏洞”就是这艘船的本质，是无论怎么被强化、修补、替换都不会消失的“灵魂”。 漏洞这个词语，在百度百科的定义上，是“在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统”。简单来说，就是有些软件可以在某种情况下，做一些它本来不被允许做的事情，而“这种情况”，就是漏洞。 虽然看似“只要编程时不出现缺陷，自然就没有漏洞了”，但是代码的编写中，错误几乎是不可避免的。尤其像是操作系统这种动辄百万、千万条代码的怪物级项目，甚至连漏洞的数量都很难进行预期和控制，往往需要频繁的补丁更新进行修复，而这又经常带来新的漏洞。 病毒利用漏洞的目的也非常简单，就是通过广泛存在的漏洞进行传播。如果说安全的系统是一道城墙，病毒本来不被允许进入，或者进入时要经过城门的检测。那么漏洞的存在，就是城墙上的缺口，通过这道缺口，病毒便可“偷渡入境”，在系统内部为所欲为。 而Wannacry使用的永恒之蓝，则更为致命，就像是城墙不仅有一个缺口，而且这个缺口还直接连到了城主府的大门，Wannacry从漏洞进入后便可以直奔中枢，轻易获得整个城市的控制权。尚未散去的硝烟 随着Wannacry、永恒之蓝、勒索病毒这些话题热度的消退，这些曾经让人闻之色变的词语已经渐渐消失，似乎一切就会这样和平下去。 而勒索病毒的制作者也渐渐发现，攻陷企业的获利往往是攻陷个人电脑的上百倍，于是个人电脑似乎逃离了瞄准镜的中心，只有企业机构用户仍在受到Wannacry等勒索病毒的集中轰炸。 然而，我们无从得知，这些已经通过直接勒索获利尝到了甜头的黑客们何时会停下脚步？新的网络武器、新的网络灾难又将在何时、以何种方式到来？ 也许将我们放在整个互联网的大环境下，我们都会在侥幸地以为，自己是“非攻击目标”的幸运儿，何必穿上那些累赘的“安全服”？然而，正如Wannacry带来的警示一样，当下一个像是Wannacry一般的新一轮攻击号角吹响之际，互联网的每一个用户都同样身处战场，而流弹并不会介意自己的偏向。发布于 2018-05-14 17:57科技Wana Decrypt0r 2.0（计算机病毒）计算机病毒​赞同 1​​添加评论​分享​喜欢​收藏​申请

勒索软件WannaCry：所有你需要知道的

WannaCry：所有你需要知道的跳到主体内容解决方案适用于：家用产品1-50 名员工的小型企业51-999 名员工的中型企业1000 名员工以上的大型企业解决方案适用于：家用产品1-50 名员工的小型企业51-999 名员工的中型企业1000 名员工以上的大型企业卡巴斯基徽标我的卡巴斯基产品产品卡巴斯基全方位安全软件为您和您的孩子提供终极安全和反病毒套件 - 在 PC、Mac 和移动设备上了解详情30 天免费试用卡巴斯基安全软件为您的隐私和资金提供高级安全和反病毒套件 - 在 PC、Mac 和移动设备上了解详情30 天免费试用卡巴斯基反病毒软件适用于 Windows 的核心反病毒软件 - 拦截病毒和加密货币挖掘恶意软件了解详情30 天免费试用卡巴斯基安全软件- Mac 版针对身份窃贼和欺诈者的高级安全保护了解详情30 天免费试用卡巴斯基免费版为您的 PC 提供免费、基本的反病毒保护了解详情免费试用免费工具卡巴斯基二维码扫描器查看更多续订下载支持资源中心BlogHomeHome SecurityResource CenterThreats什么是WannaCry勒索软件？你的电脑容易受到WannaCry勒索软件的攻击吗？继续读下去，了解我们如何探索WannaCry勒索软件攻击的所有信息。

在本文中，您将了解到：

什么是WannaCry

WannaCry勒索软件攻击如何工作

WannaCry勒索软件攻击的影响

如何保护您的计算机免受勒索软件的侵害

WannaCry勒索软件解释

WannaCry是加密勒索软件的一个例子，这是一种恶意软件，被网络罪犯用来勒索金钱。

勒索软件通过加密有价值的文件来做到这一点，这样你就无法读取它们，或者通过把你锁在电脑外面，这样你就无法使用它。

使用加密的勒索软件称为加密勒索软件。把你锁在电脑外面的类型叫做上锁勒索软件。

和其他类型的加密勒索软件一样，WannaCry将你的数据作为人质，承诺如果你支付了赎金，就归还它。

WannaCry以使用Microsoft Windows作为操作系统的计算机作为目标。它对数据进行加密，并要求以加密货币比特币支付赎金，以便返还。

什么是WannaCry勒索软件攻击？

WannaCry勒索软件攻击是发生在2017年5月的全球流行恶意攻击。

这种勒索软件攻击通过运行Microsoft Windows的计算机传播。用户的文件被扣为人质，要求比特币赎金才予以归还。

如果不是因为继续使用过期的计算机系统和缺乏更新软件的教育，这次攻击所造成的损害是可以避免的。

WannaCry攻击如何工作？

负责这次攻击的网络犯罪分子利用了微软Windows操作系统的一个弱点，使用了据称由美国国家安全局开发的黑客。

这一黑客被称为EternalBlue，是在WannaCry攻击之前，一群被称为Shadow Brokers的黑客公开的。

微软发布了一个安全补丁，在WannaCry勒索软件攻击开始前两个月，它保护用户的系统免受这种攻击。不幸的是，许多个人和组织没有定期更新他们的操作系统，因此受到攻击。

那些在攻击之前没有运行过Microsoft Windows更新的用户并没有从补丁中获益，而EternalBlue所利用的漏洞使他们容易受到攻击。

当它第一次发生时，人们认为WannaCry勒索软件攻击最初是通过网络钓鱼活动传播的（网络钓鱼活动是指带有受感染链接或附件的垃圾邮件引诱用户下载恶意软件）。然而，EternalBlue是允许wannaCry传播的漏洞，DoublePulsar是安装在受损计算机（用于执行wannaCry）上的“后门”。

如果没有付WannaCry赎金怎么办？

袭击者要求价值300美元的比特币，然后将赎金要求增加到600美元。如果受害者在三天内没有支付赎金，受WannaCry勒索软件攻击的受害者被告知他们的文件将被永久删除。

关于赎金支付的建议是不要屈服于压力。始终避免支付赎金，因为无法保证您的数据将被返回，并且每次支付都会验证罪犯的业务模式，从而使未来的攻击更为可能。

这一建议在WannaCry攻击期间被证明是明智的，因为据报道，攻击中使用的编码是错误的。当受害者支付赎金时，攻击者无法将该支付与特定受害者的计算机联系起来。

有人怀疑是否有人把他们的文件拿回来。一些研究人员声称没有人能取回他们的数据。然而，一家名为F-Secure的公司声称有一些公司做到了。这是一个明显的提醒，即是如果你遭遇勒索软件攻击，支付赎金从来不是一个好主意。

WannaCry攻击有什么影响？

WannaCry勒索软件攻击全球约23万台电脑。

最先受到影响的公司之一是西班牙移动公司Telefónica。到5月12日，英国数千家NHS医院和诊所受到影响。

三分之一的NHS医院信托基金受到袭击的影响。据报道，救护车被可怕地改变了路线，使人们无法得到紧急护理。据估计，由于这次袭击，19000个预约被取消，使NHS损失了9200万英镑。

随着勒索软件在欧洲蔓延，150个国家的计算机系统瘫痪。WannaCry勒索软件的攻击在全球范围内产生了巨大的经济影响。据估计，这起网络犯罪在全球造成了40亿美元的损失。

勒索软件保护

现在您了解了WannaCry勒索软件攻击是如何发生的以及它所带来的影响，让我们考虑一下如何保护自己免受勒索软件的攻击。

以下是我们的主要提示：

定期更新您的软件和操作系统

计算机用户成为WannaCry攻击的受害者，因为他们没有更新他们的Microsoft Windows操作系统。

如果他们定期更新操作系统，他们将从微软于攻击前发布的安全补丁中获益。

这个补丁消除了EternalBlue利用的漏洞，使计算机无法感染Wannacry勒索软件。

一定要保持软件和操作系统的更新。这是一个重要的勒索软件保护步骤。

不要点击可疑链接

如果你打开一封不熟悉的电子邮件或访问一个网站，不要信任，不要点击任何链接。点击未经验证的链接可能触发勒索软件下载。

从不打开不受信任的电子邮件附件

避免打开任何电子邮件附件，除非您确定它们是安全的。你知道并信任寄件人吗？是否清楚附件是什么？您是否希望收到附件？

如果附件要求您启用宏来查看它，请保持清醒。不要启用宏或打开附件，因为这是勒索软件和其他类型恶意软件传播的常见方式。

不要从不受信任的网站下载

从未知站点下载文件会增加下载勒索软件的风险。仅从您信任的网站下载文件。

避免未知的USB

如果您不知道USB或其他移动存储设备的来源，请不要将它们插入您的计算机。它们可能被勒索软件感染。

使用公共Wi-Fi时使用VPN

使用公共Wi-Fi时要小心，因为这会使您的计算机系统更容易受到攻击。

在使用公共Wi-Fi时，请使用安全的VPN保护自己免受恶意软件的侵害。

安装互联网安全软件

更新您的互联网安全软件

为了确保您获得最大程度的保护，您的互联网安全必须提供更新维护（包括所有最新补丁）。

备份您的数据

确保使用外部硬盘或云存储定期备份数据。如果你成为勒索软件黑客的受害者，如果你的数据被备份过，那将是安全的。备份数据后，请记住断开外部存储设备与计算机的连接。保持您的外部存储经常连接到您的PC可能会暴露给勒索软件家族，他们也可以加密这些设备上的数据。

想在最大程度的勒索软件保护下轻松入睡吗？下载卡巴斯基全方位安全软件。

相关文章：

Data Theft and Data Loss

The Biggest Ransomware Threats

WannaCry: Not Dead Yet

什么是WannaCry勒索软件？Kaspersky那个WannaCry黑客怎么了？我们将讨论WannaCry勒索软件的攻击以及如何保护您的计算机。精选文章我是网络钓鱼受害者！现在该怎么办？数字钱包有多安全？如何保护电子钱包黑色星期五在线威胁: 如何安全在线购物 什么是暗网扫描？规模最大的加密货币交易所黑客行动：如何确保您的加密货币免受黑客入侵为您提供保护的产品我们的创新型产品将帮助您保护最重要的事项。了解有关我们屡获殊荣的安全解决方案的更多信息。免费工具我们的免费安全工具以及其他工具可以帮助您检查以确保 PC、Mac 或移动设备上所有数据的安全。联系我们的团队保证您的设备安全是我们的使命 - 如果您需要联系我们、获取常见问题的答案或者访问我们的技术支持团队。

关于我们了解我们的品牌、我们的工作方式以及我们为何致力于为每个人营造更加安全的在线和移动世界。获取免费试用版购买前试用。只需单击几次鼠标，即可获取我们任一款产品的免费试用版 - 以便您可试用我们的技术。

联系我们

家用产品

卡巴斯基 反病毒软件

卡巴斯基 安全软件

卡巴斯基 全方位安全软件

所有产品

免费反病毒软件

1-50 名员工的小型企业

卡巴斯基 中小企业安全解决方案

所有产品

51-999 名员工的中型企业

标准版 网络安全解决方案

高级版 网络安全解决方案

所有产品

1000 名员工以上的大型企业

网络安全服务

卡巴斯基威胁管理和防御

卡巴斯基网络安全

Hybrid Cloud Security

Cybersecurity Training

Threat Intelligence

所有解决方案

© 2024 AO Kaspersky Lab 自适应安全技术基于专利 CN201821502 “信息设备的自适应安全性”及其在美国、俄罗斯和欧盟地区的同类专利。 隐私策略 • Cookies • 反腐败政策 • 许可协议 B2C • 许可协议 B2B • 京ICP备12053225号 京公网安备 11010102001169 号联系我们关于我们合作伙伴资源中心新闻稿网站导航选择您的国家中国 (China)

美洲

América Latina

Brasil

United States

Canada

非洲

Afrique Francophone

Algérie

Maroc

South Africa

Tunisie

中东

Middle East

الشرق الأوسط

西欧

Belgique & Luxembourg

Danmark

Deutschland & Schweiz

España

France

Italia & Svizzera

Nederland & België

Norge

Österreich

Portugal

Sverige

Suomi

United Kingdom

东欧

Česká republika

Magyarország

Polska

România

Srbija

Türkiye

Ελλάδα (Greece)

България (Bulgaria)

Россия и Белару́сь (Russia & Belarus)

Україна (Ukraine)

亚太地区

Australia

India

New Zealand

Việt Nam

ไทย (Thailand)

한국 (Korea)

中国 (China)

中国香港 (Hong Kong)

中国台灣 (Taiwan)

日本語 (Japan)

其他地区

全球网站

WannaCry(永恒之蓝）勒索病毒 - 知乎

WannaCry(永恒之蓝）勒索病毒 - 知乎切换模式写文章登录/注册WannaCry(永恒之蓝）勒索病毒聚云社官网www.juyuninfo.com巴菲特在股东大会上说过这样一句话：“我对大规模杀伤武器是很悲观的，但我认为发生核战争的可能性要低于生化武器与网络攻击。”谁也没有料到，巴菲特的这句话言犹在耳，一种名为“WannaCry”的网络病毒就在一夜之间席卷全球，酿成了不小的灾祸。“勒索病毒”席卷全球3年前一种名为WannaCry(永恒之蓝)的电脑勒索病毒正在全球蔓延，99个国家受到病毒感染。最严重的地区集中在美国、欧洲、澳洲等地区，在无需用户任何操作的情况下，Wcry2.0即可扫描开放445文件共享端口的Windows机器，从而植入恶意程序。目前，病毒已经扩散至全球上百个国家。在这样规模的攻击下，中国也未能幸免，12日当晚，中国多所大学也已经遭受到了这种病毒的袭击，大量学生中招，许多人通过微博分享了自己学校机房等大面积中毒的照片。此次校园网勒索病毒是由NSA(美国国家安全局)泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序，和之前的病毒还需要用户下载和运行有很大不同。“你有张良计，我有过墙梯”面对WannaCry网络病毒在国内的攻击愈演愈烈，一场反击战也迅速打响。5 月 13 日下午，微软决定对已经停止支持的 Windows XP 和 Windows 2003 发布特别补丁，以修复勒索病毒“永恒之蓝”所利用的漏洞。根据微软官方的描述，这一次恶意软件所利用的漏洞其实早在今年 3 月就被修复了，然而因为 XP、Windows Server 2003 等系统早已停止技术支持，所以未获得补丁更新。但是由于本次影响实在过于严重，经过评估决定特例提供补丁。国家互联网应急中心随后发布勒索软件情况通报，详细说明了病毒软件的情况和应急处置措施，并附上了防病毒补丁地址。IDC之势，安全之路对于企业来说，越来越需要把安全，尤其是数据安全，纳入业务发展的基础环节。选择一家可靠的数据中心，是未来企业保证数据安全、业务安全的基础。 企业可以从这几个维度去衡量数据中心：包括（但不限于）互联网接入能力（带宽保障、三网动态BGP等）、硬件基础设施保障（电力、空调、消防等）、故障率（单点故障、每年场地引起的IT停机）、提供商的实力等等。 企业应当让自身的安全策略更契合，与以往的“头疼医头、脚疼医脚”不同，数据中心安全防护更需要全面的部署。作为中国高标准生态数据中心与云基础服务引领者，大碗数据http://www.bowlplus.com致力于帮助完善安全服务功能，共筑健康、规范、长远发展的企业安全之路，为互联网、金融业、制造业等企业的IT设施提供稳定、安全的高负荷运行环境。发布于 2020-06-23 17:11网络安全服务器互联网数据中心（IDC）​赞同 2​​3 条评论​分享​喜欢​收藏​申请

Access Denied

Access Denied

Access Denied

You don't have permission to access "http://cn.weforum.org/agenda/2017/05/wannacry/" on this server.

Reference #18.6d62c17.1709819783.10bc00b6

关于12日wanna cry勒索病毒你怎么看？ - 知乎

关于12日wanna cry勒索病毒你怎么看？ - 知乎首页知乎知学堂发现等你来答​切换模式登录/注册信息技术（IT）黑客 (Hacker)电子计算机关于12日wanna cry勒索病毒你怎么看？5月12日侵袭中国的“蠕虫式”勒索软件WanaCry(也称作WannaCry或WanaCry0r 2.0),已致中国部分行业企业内网、教育网规模化感染…显示全部 ​关注者16被浏览10,818关注问题​写回答​邀请回答​好问题​添加评论​分享​2 个回答默认排序微言晓意​ 关注5月12日晚，一款名为“WannaCry”的勒索病毒突然爆发，初步统计已有100多个国家和地区受害，造成全球7.5万台计算机被感染。我国的校园网和多家能源企业、政府机构也纷纷中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。勒索病毒由来已久，自1989年首款AIDS Trojan勒索病毒被发现以来，几乎每年都会有新的勒索病毒或病毒变种出现。近些年来，由于互联网经济的兴起，在巨大经济利益的驱使下，勒索病毒发展呈不断上升趋势。仅在2016年一年的时间里，就先后爆发了KeRanger、Petya、Maktub、Locky、CryptXXX等数起勒索病毒爆发事件，对大量的机构与个人造成了重大的损失。因此，2016年也被称为网络安全界的勒索软件之年。每次勒索病毒攻击浪潮，都使许多机构与用户深表担忧，很多人更是饱受勒索软件之害，甚至对勒索软件谈虎色变。今天笔者就勒索软件防范做一下科普。一、什么是勒索软件？勒索软件是一种恶意软件，可以感染设备、网络与数据中心并使其瘫痪，直至用户或机构支付赎金使系统解锁。勒索软件可以感染操作系统，使设备无法启动；可以加密驱动器、文件、文件名；也可以使用定时器删除文件。所有的勒索软件都要求受害用户支付赎金，以解锁或释放被锁定或加密的系统、文件、或数据。二、勒索软件传播途径有哪些？勒索软件有多种传播途径与方式，大部分传播都伴随着社交工程学（比如带有诱惑性附件等）来进行。一般包括以下几种：1、通过电子邮件附带已感染文件进行传播。2、通过用户访问受感染的网页链接的方式传播。3、通过用户使用的社交媒体、即时通信工具进行传播。4、通过用户使用U盘、移动硬盘等移动介质进行传播。5、通过利用操作系统或应用软件自身的漏洞进行传播。6、通过被感染的软件（如带有病毒的Downloader）进行传播。不管采取哪种传播方式，勒索软件都需要寻找一个薄弱环节进行突破，换句话说只要稍有不慎就可能中招，真是防不胜防。三、有效防范勒索软件需要注意哪些？勒索软件虽然每次都来势凶猛，其实如果平时多做一些准备工作，就可以显著降低感染勒索软件的风险，并且减少感染之后对机构或个人造成的影响。下面笔者从机构与个人两个方面，就防范勒索软件需要注意的地方，进行一下简单的总结说明。1、防范勒索软件，机构需要注意的安全事项第一，传统安全技术防护要全面展开，基本的安全防护措施（如防火墙、IPS、防病毒、防垃圾邮件、网络准入、终端安全防护等）一定要部署到位并有效落地发挥作用，这些基础的安全防护都做不好，任意一个薄弱环节被突破后都会造成很大的影响。第二，如果安全预算允许的话，像威胁情报、网络流量分析、APT防御、态势感知这些新型安全防御系统，也建议搭配进行部署。虽然这些产品不能对所有的勒索软件进行防御、检测，但有些问题还是可以解决的，比如沙箱过滤有问题的附件，异常流量预警与溯源等。第三，所有应用、系统、终端一定要制定并执行安全配置基线，该加固的加固、该改默认配置的改默认配置、该打补丁的打补丁、该启用防火墙的启用防火墙、该禁用的端口就禁用。平时工作做不足，造成的安全后果迟早会体现出来，不要带有侥幸心理。另外，不要只重点针对核心系统进行防护，非核心系统也需要将安全短板提高，以免边缘系统成为安全跳板。第四，组织一支具有技术力量的应急响应团队，建立符合自身情况的应急预案并定期进行演练。俗话说你不演练下预案，预案就演练一下你，有备才能做到无患。第五、对机构内所有人员定期进行安全意识教育，并对一些简单的安全知识与技能进行培训，必要时定期进行内部社会工程渗透测试，比如钓鱼邮件测试。据说，某机构安全人员无论将钓鱼邮件写的多么离谱，总会有怀着猎奇心理人员去点击，安全意识可见一斑。第六、所有系统管理员、安全工作人员，没事多关注下安全服务商及安全从业者的微信订阅号、朋友圈，可以随时、随地、快速、准确的了解网络安全态势，可以作为安全“威胁情报”来指导安全工作的决策与落实。第七，发现安全事件不要慌、沉着应对，应急处理完成后，不要忘了向领导汇报整个过程，让领导了解网络安全的重要性。毕竟，大部分机构与领导，都是知道痛了，才开始重视的。2、防范勒索软件，个人需要注意的安全事项第一，让自己具备一定的安全知识技能，比如使用安全卫士对系统进行打补丁、改默认配置、启动防火墙、禁用自动播放功能等等。第二，在工作、生活中养成良好的安全习惯，不随便上不可靠的网站、不下载不可靠的软件、不点击来源不明的链接、不打开不信任人员发来邮件与文档。第三，提高自己的安全意识，在任何时候保持一定的安全警惕，带有诱惑性的电子邮件内容可能是钓鱼邮件，被人丢弃的U盘可能带有病毒等等。第四，平时定期对重要的文档、数据进行备份，最好是将数据备份到加密的磁盘中，以防止备份的数据同样遭受到被锁定的悲剧。第五，有些时候就算你开着电脑什么都不做，也有非常大的可能性会中招（比如这次就是利用系统漏洞自动传播）。所以，不用电脑的时候要记得关机、断电。第六，如果没什么大事、急事周末不要加班开电脑，毕竟病毒木马攻击一般都在周末人们放松警惕的时候，才大规模爆发的。四、最后总结一下这次勒索软件病毒，不是第一次，当然更不是最后一次。未来可以预见，勒索犯罪的手段会更加老练、传播方式会更加隐蔽，会越发倾向于以意想不到的全新方式，去危害更多无辜的机构与个人。在事件频发、风险无处不在的网络安全新常态下，安全与业务经营应融合成为一个整体，安全应成为一个高度融合与协同的技术体系。只有这样，网络安全工作才能，真正避免踏着历史的足迹、不断重复过去悲剧的恶性循环。编辑于 2018-05-01 21:12​赞同 3​​添加评论​分享​收藏​喜欢收起​IABH​ 关注其实我觉得这次黑客的目的应该是让人们关注这个病毒，因为这个病毒的来源是美国国家安全局，美国国家安全局在发现软件安全漏洞后没有及时推出补丁，而是利用漏洞来从事间谍活动，这才让黑客得到了这个病毒，而黑客最先攻击的不是个人，而是学校，医院等从属于国家的机构，为的就是让人们关注这次事件，就像斯诺登曝光时间一样，个人观点，勿喷。发布于 2017-05-14 16:56​赞同 4​​6 条评论​分享​收藏​喜欢收起​​

国家互联网应急中心

国家互联网应急中心

网站地图

RSS订阅

English

邮件订阅

 

 

首　　页

威胁预警

态势报告

新闻资讯

CERT在线

CERT讲堂

应急体系

关于我们

漏洞公告

恶意代码

其他威胁

安全指数

安全状况图表

安全报告

数据分析报告

CNCERT动态

国内要闻

国际新闻

有害IP/URL查询

安全工具下载

安全科普

技术专题

培训研讨

政策法规

互联网运营单位

国际合作伙伴

国内合作伙伴

应急服务支撑单位

网络安全工作委员会

中国应急组织社区

CNCERT分中心

CNCERT简介

联系我们

 

重点关注

Apache Log4j2远程代...

关于Apache Log4j2存...

关于Apache Log4j2存...

关于近期境外黑客组织攻击我国多个...

国家互联网应急中心CNCERT勒...

更多>>

漏洞公告

Apache Log4j2远程代...

关于Apache Log4j2存...

关于Apache Log4j2存...

关于近期境外黑客组织攻击我国多个...

关于Microsoft Exch...

关于VMware多款产品存在远程...

更多>>

恶意代码

关于Moobot僵尸网络利用UN...

国家互联网应急中心开通Wanna...

关于一种新型勒索病毒有关情况的通报

一例境外滥用我国境内网络资源发起...

关于软件下载站传播计算机恶意程序...

更多>>

其他威胁

勒索软件防范指南

关于新型P2P僵尸网络PBot的...

关于通过一类APP实施刷单诈骗的...

关于近期境外黑客组织拟对我国视频...

关于防范网络不法分子利用新型肺炎...

更多>>

国家互联网应急中心开通WannaCry勒索病毒感染数据免费查询服务

　时间：2019-04-29

        2017年5月12，WannaCry勒索病毒利用Windows SMB（永恒之蓝）漏洞在全球快速传播、大范围感染，国家互联网应急中心（以下简称“CNCERT”）启动网络安全应急响应，对WannaCry勒索软件及相关网络攻击活动进行监测并向我国广大用户提出防范建议，具体详见CNCERT在2017年5月13日发布的《关于防范Windows操作系统勒索软件WannaCry的情况通报》。

        为实时掌握WannaCry勒索病毒及其变种在我国的传播感染情况，CNCERT持续开展针对该病毒的监测工作。根据分析，WannaCry勒索病毒成功感染计算机并运行后，首先会主动连接一个开关域名。如果与开关域名通信成功，该病毒将不运行勒索行为，但病毒文件仍驻留在被感染计算机中；如果通信失败，该病毒将运行勒索行为加密计算机中文件，并继续向局域网或互联网上的其他计算机传播和感染。据此，截至2019年4月9日，CNCERT监测发现我国境内疑似感染WannaCry勒索病毒的计算机数量超过30万台，仍有大量的计算机未安装“永恒之蓝”漏洞补丁和杀毒软件，我国计算机感染WannaCry勒索病毒疫情依然比较严峻。

        为了有效控制WannaCry勒索病毒的传播感染，CNCERT开通了该病毒感染数据免费查询服务。查询说明如下：

        1、WannaCry勒索病毒是利用Windows的“永恒之蓝”病毒进行传播，该病毒暂只能感染Windows操作系统，请您在Windows操作系统上的浏览器中输入查询地址打开查询页面进行查询，查询地址为：http://wanna-check.cert.org.cn。

        2、若提示IP地址承载的计算机受到感染，建议使用WannaCry勒索病毒专杀工具进行查杀，并及时修复相关漏洞。

        “永恒之蓝”漏洞补丁官方地址：

        https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

        3、如果您使用宽带拨号上网或手机上网，由于IP地址经常变化，会导致查询结果不准确，仅供参考。

 

        如果您有意见或建议，欢迎通过电话 010-82990999或邮箱cncert@cert.org.cn与CNCERT联系。

 

 



关于我们|

网站声明|

网站地图|

联系我们|

版权声明

国家计算机网络应急技术处理协调中心版权所有Email：cncert@cert.org.cn　京ICP备10012421号-2网站由知道创宇公司加速乐产品提供访问优化服务

被“WannaCry”勒索病毒攻击？这里有一份紧急处置手册-36氪

被“WannaCry”勒索病毒攻击？这里有一份紧急处置手册-36氪

wannacry勒索病毒防御防治_wannacry勒索病毒修复-腾讯电脑管家

wannacry勒索病毒防御防治_wannacry勒索病毒修复-腾讯电脑管家

勒索病毒WannaCry肆虐全球，利用Windows操作系统漏洞，因链式反应迅猛自动传播，校园电脑、个人电脑、政府机关都是重灾区。中毒电脑所有文档被加密，将被勒索高达300美元以上。管家与你，一起防治！

正确开机可防毒

【普通用户】

一、下载“勒索病毒离线版免疫工具”

1、在另一台无重要文档的电脑上下载电脑管家的“勒索病毒离线版免疫工具”（简称“免疫工具”）

2、 将“免疫工具”拷贝至安全的U盘或移动硬盘下载免疫工具

* Windows 10系统已经安全，无需下载免疫工具

注意：免疫工具支持我的电脑系统吗？若系统不支持，请下载微软官方补丁包

二、断网备份重要文档

1、若电脑插了网线，则先拔掉网线；若电脑通过路由器连接wifi，则先关闭路由器。

2、将电脑中的重要文档拷贝或移动至安全的硬盘或U盘。

三、运行免疫工具，修复漏洞

1、拷贝U盘或移动硬盘里的“勒索病毒离线版免疫工具”到电脑。

2、双击运行，开始修复漏洞。

3、稍等片刻，等待漏洞修复完，重启电脑，就可以正常上网了。

四、开启实时防护和文档守护者工具，预防变种攻击

1、下载电脑管家最新版，保持实时防护状态开启（默认已开启）。下载电脑管家

2、打开电脑管家的文档守护者工具，自动备份重要文档。

3、云端备份：微云为您免费提供10G云空间备份重要文档，不限流量不限速。登录微云

【管理员用户】

一、禁止接入层交换机PC网段之间445端口访问使用教程>>

二、要求所有员工按照前文1-4步修复漏洞

三、你可以用“管理员助手”确认员工电脑漏洞是否修复

命令行：MS_17_010_Scan.exe 192.168.164.128

已经开机怎么办？

一、先判断电脑是否中毒？

1、电脑界面出现下图，表明中毒

2、没有中毒，表明你的电脑暂时是安全的，请根据下文指引，修补漏洞，预防病毒变种攻击。

二、安装免疫工具，修复漏洞

1、下载电脑管家

2、从管家主界面中打开勒索病毒免疫工具

3、扫描并修复漏洞

三、开启实时保护和文档守护者工具，预防变种攻击

1、下载电脑管家最新版，保持实时防护状态开启（默认已开启）。下载电脑管家

2、打开电脑管家的文档守护者工具，自动备份重要文档。

3、云端备份：微云为您免费提供10G云空间备份重要文档，不限流量不限速。登录微云

中招怎么办？

一、电脑出现下图，表明已中毒

二、中毒后，务必按以下步骤操作

如果您的电脑是Windows XP系统，刚刚中毒且未重启电脑，请下载电脑管家勒索解密工具，可较大概率解锁病毒并恢复您的文档。下载解密工具

如果您的电脑中毒后已被重启，请按以下指引操作。修复过程需要全程断网，建议微信扫描下方二维码，随时在手机上查阅此指引。

具体指引如下：

1、将被感染电脑彻底断网，并在修复过程中确保全程断网。

2、在另一台联网电脑下载“勒索病毒离线修复工具包”，并解压缩到U盘。

3、保持断网，将装有工具包的U盘插入被感染电脑，右键点击“1_专杀工具.bat”，选择“以管理员身份运行”，等待成功清除病毒。

4、继续保持断网，运行“2_文件恢复.exe”，根据使用教程，完成加密文件的恢复 使用教程>>

5、继续保持断网，运行 “3_免疫工具.exe”，请耐心等待补丁安装完成后，按照提示重启 使用教程>>

6、修复完成，可以恢复网络连接。

事件背景

勒索病毒是什么？

WannaCry病毒与其他同类勒索病毒不同，它是一种可自动感染其他电脑进行传播的蠕虫病毒，因链式反应而迅猛爆发。这种勒索病毒主要感染Windows系统，它会利用加密技术锁死文件，禁止用户访问，并以此勒索用户。袭击者声称，索要价值300美元以上的比特币后方能解锁文件。实际上，即使支付赎金，也未必能解锁文件。

为什么会感染勒索病毒？

该勒索蠕虫一旦攻击进入能连接公网的用户机器，则会扫描内网和公网的ip，若被扫描到的ip打开了445端口，则会使用“EternalBlue”（永恒之蓝）漏洞安装后门。一旦执行后门，则会释放一个名为WannaCry敲诈者病毒，从而加密用户机器上所有的文档文件，进行勒索。

勒索病毒为什么使用比特币？

比特币是一种点对点网络支付系统和虚拟计价工具，通俗的说法是数字货币。比特币在网络犯罪分子之中很受欢迎，因为它是分散的、不受管制的，而且几乎难以追踪。

查看更多>>

最新动态

从“想哭”变成“想妹妹”！比特币敲诈原来一直在演化

腾讯反病毒实验室及时响应此次攻击事件，搜集相关信息，初步判断WannaCry病毒在爆发之前已经存在于互联网中，并且病毒目前仍然在进行变种。在监控到的样...

2017/5/16 17:38:00 腾讯科技

腾讯反病毒实验室负责人：周一将成为病毒攻击关键时点

周一早上，也就是上班第一天早上，将会成为非常重要的关键时点。在这种情况下，系统管理员应该有更多的防护意识，及时推送补丁更新、在交换机等位置上做一...

2017年05月14日 18:04:53 凤凰科技

“千年虫”再现？美网络武器库泄漏 99国遭网络攻击

马劲松：电脑管家主动防御拦阻比特币勒索木马

比特币勒索蠕虫病毒血洗互联网，腾讯云发出安全提示

更多案例

【案例一】伪装成Chrome字体更新程序的Spora敲诈者木马

简介：用户在Chrome内核浏览器中打开部分网站时出现乱码，并提示需要下载字体更新程序并执行后才能正常访问。一旦用户点击下载更新，植入其中的新型敲诈者病毒Spora便会自动运行，将用户所有文件加密。

【案例二】只需一封邮件，便能锁定电脑重要文件进行敲诈

简介：从事互联网工作的汪为（化名），正查看一封主题为Delivery Notification的邮件，打开其中的附件后，却发现电脑上的文件被改成乱码无法打开，桌面背景也被修改为敲诈提示文字。邮件附件是敲诈者木马的常见传播渠道。

【案例三】通过看图软件传播的“纵情”敲诈者木马

简介：“纵情”国产敲诈者木马最初植入在一款名为“识图看看”的软件中，随后通过各大社交平台、论坛及网盘疯狂传播。用户一旦中招，电脑上所有文档、文件的名称都被修改，且无法正常打开，只能通过缴纳赎金进行恢复。

正确开机可防毒

已经开机怎么办？

中招怎么办？

事件背景

最新动态

手动关闭445端口操作教程

建议先断网，再关闭端口，关闭端口后可以联网下载补丁或修复工具

第一步：开始菜单-打开控制面板中的Windows防火墙，并保证防火墙处于启用状态

第二步：打开防火墙的高级设置

第三步：在“入站规则”中新建一条规则，选择【自定义】

第四步：左侧选择【协议和端口】并在本地端口号选择445，其他设置如图所示，【操作】选择阻止连接，完成生成即可

第五步：继续下一步，最后随意填个名称，点击完成就可以了

文档守护者功能简介

敲诈勒索病毒肆虐全球，电脑管家推出文档保护工具【文档守护者】，请先安装新版电脑管家

下载链接：新版电脑管家

官网地址：https://guanjia.qq.com/main.html

安装新版管家之后，在以下3个入口可以打开【文档守护者】

管家首页右下角

杀毒页底部

工具箱-系统分类下

【文档守护者】主界面如下

开启【全盘文档备份】重启电脑后，文档守护者将会智能防护你的电脑文档，当有加密、修改、删除等操作时实现无感知自动备份如果出现新的敲诈病毒加密文件进行勒索，可以通过【敲诈者急救】功能找回被加密的文档。

【文档守护者】采用全新备份技术，性能和效率大幅提升，目前支持主流的办公类型文档，用户也可以在设置中心手动添加需要保护的文件类型，以及对备份的时间，以及大小进行设定。

【文档守护者】会在本地找到空间最大的一个磁盘，对被修改的文件会进行写时备份，可通过设置中心找到备份文件存放的位置。

敲诈者病毒文件恢复教程

Tip：对于被病毒加密的文件，电脑管家的工程师竭尽全力破解并发现了恢复部分文件的方法，但恢复成功率受到文件数量、大小、及恢复时间等多个因素影响，越早恢复成功率越高。

1、下载小工具

下载地址：https://pm.myapp.com/s/PCmgrFileRecovery.exe

2、安装工具

3、点击【恢复被删除的文件】并开始恢复

4、选择要恢复的文件和目录所在的位置

5、耐心等待扫描结果，整个过程受磁盘大小影响

6、选择想要恢复的文件

小技巧：

●系统默认桌面文件夹的位置：C:\Users\Administrator（你电脑用户名）\Desktop

●恢复的文件，文件名可能会发生改变，没有找到想要的文件不一定是没有恢复哦

●请尽量将恢复的文件放到新的磁盘中以提高成功率，例：被删除的文件在C盘，请将恢复的文件恢复到D盘，防止文件覆盖。

7、恢复完成

漏洞修复

若没有下载，可通过以下链接下载：点击下载

a) 双击工具，点击运行，请耐心等待

b) 修复成功后，你会看到这个弹框，请点击确定重启电脑

c) 如果修复失败，请点击提示弹框的确定按钮，然后将黑色的窗口关闭，也能保证不中招

d) 如果你还有问题或不清楚的地方，可以打开手机，到电脑管家论坛中，我们会有专门的同事来协助你解决问题进入论坛

扫描并修复漏洞

a) 扫描漏洞

b) 如果没有漏洞，那么你的电脑暂时没有中招，你可以使用文档守护者，保护文档免受变种勒索病毒威胁。

c) 如果电脑存在漏洞，点击立即修复，即可一键完成漏洞的修复。

d) 修复成功后请重启电脑，本次勒索病毒危险解除。若微软官方补丁无法安装，电脑管家将使用独家修复方案，帮你免疫勒索病毒威胁。建议使用文档守护者，保护文档免受变种勒索病毒威胁。

e) 如果修复失败，请前往论坛，会有专门的同事来协助你解决问题

免疫工具所支持的系统

Windows 10（32/64位系统）已经免疫勒索病毒

Windows XP（32位系统）；

Windowsserver 2003（32位系统）；Windowsserver 2003（64位系统）；

Windows Vista（32位系统）；Windows Vista（64位系统）；

Windows 2008（32位系统）；Windows 2008（64位系统）；

Windows7（32位系统）；Windows7（64位系统）；

Windows 2008 R2（32位系统）；Windows 2008 R2（64位系统）；

Windows8.1（32位系统）；Windows8.1（64位系统）

Windows系统补丁下载地址

Windows Server 2008（32位系统）补丁: 点击下载

Windows Server 2008（64位系统）补丁: 点击下载

其它操作系统请访问：点击下载，选取相应补丁版本下载