中山網(wǎng)絡(luò)公司，中山網(wǎng)絡(luò)制作愛途科技公司2017-05-13日報

5月12日晚，一款名為Wannacry 的蠕蟲勒索軟件襲擊全球網(wǎng)絡(luò)，這被認(rèn)為是迄今為止最巨大的勒索交費(fèi)活動，影響到近百個國家上千家企業(yè)及公共組織。 該軟件被認(rèn)為是一種蠕蟲變種（也被稱為“Wannadecrypt0r”、“wannacryptor”或“ wcry”）。 像其他勒索軟件的變種一樣，WannaCry也阻止用戶訪問計算機(jī)或文件，要求用戶需付費(fèi)解鎖。

一旦電腦感染了Wannacry病毒，受害者要高達(dá)300美元比特幣的勒索金才可解鎖。否則，電腦就無法使用，且文件會被一直封鎖。 

研究人員還發(fā)現(xiàn)了大規(guī)模惡意電子郵件傳播，以每小時500封郵件的速度傳播杰夫勒索軟件，攻擊世界各地的計算機(jī)。

大量國內(nèi)高校中招，其他行業(yè)也受到影響

5月12日晚，國內(nèi)有不少高校學(xué)生反映電腦被惡意的病毒攻擊，文檔被加密。

勒索者源頭來自暗網(wǎng)，攻擊具備兼容性、多語言支持，多個行業(yè)受到影響，國內(nèi)的ATM機(jī)、火車站、自助終端、郵政、醫(yī)院、政府辦事終端、視頻監(jiān)控都可能遭受攻擊。據(jù)報道，今日全國多地的中石油加油站無法進(jìn)行網(wǎng)絡(luò)支付，只能進(jìn)行現(xiàn)金支付。中石油有關(guān)負(fù)責(zé)人表示，懷疑受到病毒攻擊，具體情況還在核查。而截至目前，一些公安系統(tǒng)已經(jīng)遭到入侵。

勒索軟件利用NSA爆出的漏洞迅速傳播

軟件利用美國國家安全局黑客武器庫泄露的ETERNALBLUE（永恒之藍(lán)）發(fā)起病毒攻擊。遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用黑客工具包有關(guān)。其中ETERNALBLUE模塊是SMB 漏洞利用程序，可以攻擊開放了 445 端口的 Windows 機(jī)器，實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。 蠕蟲軟件正是利用 SMB服務(wù)器漏洞，通過2008 R2滲透到未打補(bǔ)丁的Windows XP版本計算機(jī)中，實(shí)現(xiàn)大規(guī)模迅速傳播。 一旦你所在組織中一臺計算機(jī)受攻擊，蠕蟲會迅速尋找其他有漏洞的電腦并發(fā)起攻擊。

事實(shí)上，微軟已經(jīng)在三月份發(fā)布相關(guān)漏洞（MS17-010）修復(fù)補(bǔ)丁，但很多用戶都沒有及時修復(fù)更新，因而遭到此次攻擊。 

全球受攻擊情況 

僅僅幾個小時內(nèi)，該勒索軟件已經(jīng)攻擊了99個國家近萬臺電腦。英國、美國、俄羅斯、德國、土耳其、意大利、中國、菲律賓等國家都已中招。且攻擊仍在蔓延。 

據(jù)報道，勒索攻擊導(dǎo)致16家英國醫(yī)院業(yè)務(wù)癱瘓，西班牙某電信公司有85%的電腦感染該惡意程序。至少1600家美國組織， 11200家俄羅斯組織和6500家中國組織和企業(yè)都受到了攻擊。 

Wana-Decrypt0r-WannaCry-勒索軟件

來自英國、西班牙、意大利等多個國家的用戶在網(wǎng)上分享了被攻擊的截圖。據(jù)報道，Wannacry相關(guān)的比特幣錢包已經(jīng)開始填充現(xiàn)金。

西班牙計算機(jī)應(yīng)急組織還針對WannaCry發(fā)布了警告：”WannaCry勒索軟件侵入計算機(jī)，將文件加密并通過SMB執(zhí)行遠(yuǎn)程命令。現(xiàn)在已經(jīng)侵入了其他Windows系統(tǒng)的機(jī)器?！?

目前還不清楚WannaCry的幕后黑手到底是誰。但大部分攻擊來自釣魚郵件，或是受害者訪問的含有惡意軟件的網(wǎng)站。早在今年二月，WannaCry的前身WeCry就已發(fā)起過攻擊，向用戶勒索比特幣。

解決方案

該攻擊涉及MS17-010漏洞，我們可以采用以下方案進(jìn)行解決

漏洞名稱：

Microsoft Windows SMB遠(yuǎn)程任意代碼執(zhí)行漏洞 (MS17-010)

包含如下CVE：

CVE-2017-0143 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0144 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0145 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0146 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0147 重要 信息泄露

CVE-2017-0148 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

漏洞描述：

SMBv1 server是其中的一個服務(wù)器協(xié)議組件。

Microsoft Windows中的SMBv1服務(wù)器存在遠(yuǎn)程代碼執(zhí)行漏洞。

遠(yuǎn)程攻擊者可借助特制的數(shù)據(jù)包利用該漏洞執(zhí)行任意代碼。

以下版本受到影響：

Microsoft Windows Vista SP2

Windows Server 2008 SP2和R2 SP1

Windows 7 SP1

Windows 8.1

Windows Server 2012 Gold和R2

Windows RT 8.1

Windows 10 Gold

1511和1607

Windows Server 2016

解決方法：

1.防火墻屏蔽445端口

2.利用 Windows Update 進(jìn)行系統(tǒng)更新

3.關(guān)閉 SMBv1 服務(wù)

3.1 適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于客戶端操作系統(tǒng)：

打開“控制面板”，單擊“程序”，然后單擊“打開或關(guān)閉 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。

重啟系統(tǒng)。

3.2 對于服務(wù)器操作系統(tǒng)：

打開“服務(wù)器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。

在“功能”窗口中，清除“SMB 1.0/CIFS 

文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。

重啟系統(tǒng)。

3.3適用于運(yùn)行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注冊表

注冊表路徑︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建項︰ SMB1，值0（DWORD）

重新啟動計算機(jī)

關(guān)于影響的操作系統(tǒng)范圍和對應(yīng)的補(bǔ)丁號碼詳情請見：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

勒索病毒中招嘗試解決方案

方法一:  

1:打開自己的那個勒索軟件界面，點(diǎn)擊copy. （復(fù)制黑客的比特幣地址） 

2:把copy粘貼到btc.com （區(qū)塊鏈查詢器） 

3:在區(qū)塊鏈查詢器中找到黑客收款地址的交易記錄，然后隨意選擇一個txid（交易哈希值） 

4:把txid 復(fù)制粘貼給 勒索軟件界面按鈕connect us. 

5:等黑客看到后 你再點(diǎn)擊勒索軟件上的check payment.  

6:再點(diǎn)擊decrypt 解密文件即可。  

方法二: 

下載開源的腳本(需要python3環(huán)境)來運(yùn)行嘗試恢復(fù)。 

下載鏈接：https://github.com/QuantumLiu/antiBTCHack

* 參考來源：THK ，AngelaY編譯，轉(zhuǎn)載請注明來自FreeBuf.COM