WannaCry勒索病毒防护工具是一款非常给力的实用简单工具,有效的防卫了最近非常流行的WannaCry勒索病毒,使用这款Wannacry免疫工具不管你电脑里哪个角落出现了可能危及到电脑的病毒,统统一键删除。
病毒介绍
5月12日晚开始,WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击,受入侵电脑超过20万,并且影响还在持续中,用户依然需要加强防护措施。WannaCry勒索病毒事件最初在英国曝光,12日晚上10点,英国时间大约下午3点半,英国全国共16家医院同时遭到网络攻击。 所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁,文件已经全部被加密,除非你支付价值300美元的比特币,否则你的文件将会被永久删除”。
很快,在英国地区遭受这些攻击的同时,全球多地发出告警,一场针对全球的网络攻击,瞬时展开。我国多个行业网络同样受到WannaCry勒索病毒攻击, 其中教育行业中的校园网受损尤为严重。目前,全球遭遇攻击的国家超过150个,幸免的国家,要么没有电脑,要么没有网络。
病毒分析
通过分析发现,WannaCry勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件, 利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁,导致电脑或服务器中招。
今年4月,方程式组织泄露addjob、swift、windows三个文件夹的数据,其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。 本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。
病毒流程
勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。
其中u.wnry*就是后续弹出的勒索窗口。
窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。
通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY
此时如果点击勒索界面的decrypt,会弹出解密的框。
但必须付钱后,才可以解密
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。
病毒影响
深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看,从5月12号晚上开始, 不到一天的时间,发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次,其中受灾最严重的地区是杭州市,被攻击次数多达1612次。其实,勒索病毒并不陌生,这几年也频繁出现,然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。 究其原因,是大家对漏洞认知较少,也不清楚是否需要防护,该如何去防护。
由于没有相关监测产品对其业务进行7*24小时的安全值守,导致很多用户对安全漏洞感知不足,使得攻击者通过漏洞对其业务进行勒索。
网友评论