一、事件综述
5月12日晚,一款名为Wannacry的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,并已影响到上百个国家上千家企业及公共组织。该病毒是一种蠕虫变种,像其他勒索软件的变种一样,WannaCry通过加密的方式阻止用户访问计算机或文件,一旦电脑感染了Wannacry病毒,受害者需要支付高达美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。
二、WannaCry攻击分析
5月12至13日,互联网上相继出现针对Windows操作系统的勒索软件的攻击案例,此次wannacry勒索蠕虫借助上月中旬EquationGroup(方程式组织)泄露的EternalBlue(永恒之蓝)漏洞利用工具进行传播。而EternalBlue工具则利用了MS17-对应的SMB协议远程代码执行漏洞。MS17-对应的漏洞主要影响以下操作系统:Windows,Windows,WindowsXP,WindowsVista,Windows7,Windows8,Windows10,Windows,Windows。
工具名称
主要用途
ETERNALROMANCE
SMB和NBT漏洞,对应MS17-漏洞,针对和端口发起攻击,影响范围:WindowsXP,,Vista,7,Windows8,,R2
EMERALDTHREAD
SMB和NETBIOS漏洞,对应MS10-漏洞,针对和端口,影响范围:WindowsXP、Windows
EDUCATEDSCHOLAR
SMB服务漏洞,对应MS09-漏洞,针对端口
ERRATICGOPHER
SMBv1服务漏洞,针对端口,影响范围:WindowsXP、Windowsserver,不影响windowsVista及之后的操作系统
ETERNALBLUE
SMBv1、SMBv2漏洞,对应MS17-,针对端口,影响范围:较广,从WindowsXP到Windows
ETERNALSYNERGY
SMBv3漏洞,对应MS17-,针对端口,影响范围:Windows8、Server
ETERNALCHAMPION
SMBv2漏洞,针对端口
表1:上月披露的可能通过端口发起攻击的漏洞工具列表
EternalBlue的利用代码主要针对WindowsXP以及Windows7,,以上操作系统只要打开了端口且没有安装MS17-补丁的计算机均会受到影响,系统被入侵后,弹出勒索对话框:
图1:遭受感染的机器界面
用户一旦感染,该勒索软件会将自身复制到系统的所有目录下,并加密如下后缀名的用户文件:
.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX.TAX.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG
图2:对以上后缀名的文件进行加密
图3:中招用户机器上被感染文件
比特币赎金北京治疗白癜风一共要多少钱济南白癜风医院
