WannaCry病毒发起背景

此次WannaCry病毒在三月份就有行动,当时版本号是2.0,因为在3月份病毒发布者还没有利用黑客组织“Shadow Brokers”发布的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞工具进行大规模攻击,当时并没有引起全球网络危机进而引发世界的关注。

此次比特币勒索病毒的名字有:WCry、WannaCry、WCrypt、WanaCryptor、WannaCrypt、Wana Decryptor、WORM_WCRY.A...

病毒侵袭引起全球关注在2017年5月12日,率属于NHS(英国国家医疗服务体系),这个体系一直承担着保障英国全民公费医疗保健的重任)的16个英国卫生医疗组织向英国医疗数据中心反映,他们的电脑受到蠕虫勒索病毒的攻击。而黑客三个月前花了不到一个小时就进入了NHS(英国国家医疗服务体系)服务器获取资料。

微软对漏洞端口的处理

除了安全更新,微软3月份的时候没有识别针对SMBv1漏洞的缓解因素,微软批评美国政府没有通知这个漏洞。

随着事件的扩大,微软近期则分析了黑客界臭名昭著的Shadow Brokers(黑客组织号影子经纪人)流出的据称率属于NSA(美国国家安全局)下黑客组织Equation(代号方程式)开发的漏洞工具针对的Windows系统的漏洞,工程师们已经对披露的漏洞进行了调查,大部分漏洞截至14号已经被修补了。

NSA黑客武器库中攻击程序列表:

微软在3月14号对SMB漏洞发布了服务器安全更新告示MS17-010显示,更新的程序修正了服务器消息块(SMB)对特别请求的处理方式,微软把3月14号的安全公告的重要指数定为Critical(重要)。

WannaCry变种

之前的病毒阻止域名已经被网络安全研究员MalwareTech抢注,WannaCry病毒制作者花费了2天时间发布变种不包含关闭开关的蠕虫病毒。

网络安全研究员发现,二次病毒感染的电脑50%+位于俄罗斯。

WannaCry二次病毒由两部份构成:勒索软件病毒、SMB蠕虫病毒。

此次WannaCrypt病毒引发了其他勒索软件模仿WannaCrypt病毒的界面:

另外,61款测试的杀毒工具中有部分杀毒软件对WannaCry.EXE病毒程序放行:

截至今天中午,240+勒索笔交易达成。

比特币今天的成交价:

一般勒索软件的工作原理

传播病毒的手段:

病毒作者可能利用各种把戏来说服你下载他们的文件,平时不要随便接触不良网站的文件,接收到不明邮件和附件不要随便点开下载(这类邮件包含不限于各种通过税收通知形式、不明罚款账单形式的邮件、不明网络挣钱渠道的邮件)。

WannaCrypt病毒利用RSA+AES加密算法加密计算机上的各类文件(RSA加密算法是一种非对称加密算法,美国联邦政府采用的一种区块加密标准。1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的)。

一般勒索软件的工作原理图

WannaCry病毒的应对措施

此次病毒主要针对的windows版本:Windows XP,Windows 8, Windows Server 2003,Windows Server 2008,Windows 8.1等旧版win系统。

①打补丁

Windows 8安全更新程序

Windows 7 64位系统安全更新程序

②关闭SMBv1(非必须),涉及的计算机端口:135、137、445端:

③利用datarecover、Active等数据恢复工具,数据恢复工具理论上只要原盘位没有被新数据覆盖,就有恢复的可能,个人使用过的数据工具有

一些安全机构对WannaCry病毒来源的判断

卡巴斯基实验室分析师昨日基于一贯的追查,把WannaCry蠕虫病毒与Lazarus2014年10月份的代码样本对比分析判断认为此次蠕虫病毒和该黑客团伙拉撒路有关。

黑客团伙拉撒路背景:

2016年2月5日未知黑客组织入侵孟加拉央行系统,从该行转走8100万美元,被认为是史上金额最大、最成功的银行网络行窃团伙。

(黑客团伙拉撒路代码样本对比,图片来自卡巴斯基)

卡巴斯基实验室连同其他网络安全公司认为该起网络行窃与自2009年以来就在多达18个国家攻击国家基础网络设备和金融系统的黑客团伙拉撒路Lazarus有关,并认为该团伙来自朝鲜。

Wannacry勒索软件袭击了全球,内网重点受挫(网吧、校园网、单位办公网大多属于内网,内网也可代指局域网,封闭型的)。

WannaCry蠕虫病毒是个开始吗?

WannaCry这次蠕虫病毒在内网肆虐,除了企事业单位计算机系统没有及时升级和内部网络中大多开启445端口和139端口外,是否也在告诉我们内网相对安全有失偏颇?

对于公共物理基础网络设施的瞬间崩塌的快速重建是不是未来外包安全公司加以考虑的方向呢?

蠕虫病毒仅仅预示着比特币病毒攻击的开始,更多的黑客和攻击者会不会效仿这次网络攻击事件,制作出更多的病毒席卷全球就不得而知了...

感谢阅读~

文章有所删减,阅读全文请移步公众号【OnlyTimeKnow】回复“WannaCry病毒"。