勒索病毒WannaCry（永恒之藍）

原創作品，允許轉載，轉載時請務必以超連結形式标明文章  原始出處  、作者資訊和本聲明。否則将追究法律責任。 http://solin.blog.51cto.com/11319413/1925890

勒索病毒WannaCry（永恒之藍）

  日前，"永恒之藍"席卷全球，已經有90個國家遭到***。國内教育網是遭到***的重災區。不過，在安裝相對老舊版本Windows的電腦普遍遭到***之時，不少安裝linux衍生版作業系統的電腦和蘋果電腦逃過一劫。不少網友在網上紛紛表示慶幸，并對linux或蘋果的安全性大加贊美之詞。但實際上，并非是這些作業系統在技術上擁有明顯高于Windows安全性，隻是***沒有專門針對其進行***而已。

病毒勒索事件概況

  從5月12日開始，勒索病毒在全球範圍内爆發。

  首先中招的是大英帝國。全英國上下多達25家醫院和醫療組織遭到大範圍網絡***。醫院的網絡被攻陷，電腦被鎖定，電話打不通.......***向每家醫院索要300比特币（接近400萬人民币）的贖金，如果3天之内沒有交上，贖金翻倍，如果7天内沒有支付，***将删除所有資料....

  随後***面積不斷擴大，中國大批高校也出現感染情況。衆多師生的電腦檔案被病毒加密，隻有支付贖金才能恢複。作為985院校之一的山東大學也沒能幸免于難。

  目前在傳播的勒索病毒以ONION和WNCRY兩個家族為主，中毒後的表現是：受害機器的磁盤檔案會被篡改為相應的字尾，圖檔、文檔、視訊、壓縮包等各類資料都無法正常打開，隻有支付贖金才能解密恢複。這兩類勒索病毒，勒索金額分别是5個比特币和300美元，折合人民币分别為5萬多元和2000多元。

勒索事件的起源

事情起源于兩個頂級***組織的撕X:

  NSA（美國國家安全局）的最強***組織"方程組"和專門販賣重磅資訊的頂級***組織"暗影經紀人"。

事件時間軸

  1. 在2016 年 8 月有一個"Shadow Brokers"的***組織号稱***了方程式組織竊取了大量機密檔案，并将部分檔案公開到了網際網路上，方程式(Equation Group)據稱是 NSA(美國國家安全局)下屬的***組織，有着極高的技術手段。

  這部分被公開的檔案包括不少隐蔽的地下的***工具。另外 "Shadow Brokers" 還保留了部分檔案，打算以公開拍賣的形式出售給出價最高的競價者，"Shadow Brokers" 預期的價格是 100 萬比特币(價值接近5億美元)。而"Shadow Brokers" 的工具一直沒賣出去。

  2. 中原標準時間 2017 年 4 月 8 日，"Shadow Brokers" 公布了保留部分的解壓縮密碼，有人将其解壓縮後的上傳到Github網站提供下載下傳。

  3. 中原標準時間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼後，"Shadow Brokers" ，在推特上放出了第二波保留的部分檔案。此次發現其中包括新的23個***工具。這些***工具被命名為OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EternalBLUE，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

再後來的事情，就是EternalBLUE（永恒之藍）被***利用來進行敲詐。

是以總結起來就是：

  Shadow Brokers這家***組織公布了NSA的一些***工具，"永恒之藍"隻是其中一個利用445端口進行***的工具。這些工具被人利用，是以導緻此病毒爆發。

勒索病毒的機制？

  1.WannaCry***流程

  2. WannaCry***機制

  勒索病毒是由NSA洩漏的"永恒之藍"***武器傳播的。"永恒之藍"可遠端***Windows的445端口（檔案共享），如果系統沒有安裝今年3月的微軟更新檔，無需使用者任何操作，隻要開機上網，"永恒之藍"就能在電腦裡執行任意代碼，植入勒索病毒等惡意程式。

受害機器的磁盤檔案會被篡改為相應的字尾，圖檔、文檔、視訊、壓縮包等各類資料都無法正常打開，隻有支付贖金才能解密恢複。

為什麼此次病毒受害者多為高校、醫院等機構？

  前面已經說過，病毒是利用445端口進行***。由于國内曾多次出現利用445端口傳播的蠕蟲病毒，部分營運商對個人使用者封掉了445端口。但是教育網并無此限制，存在大量暴露着445端口的機器，是以成為不法分子使用NSA***武器***的重災區。

中毒後如何解除？

  很抱歉，目前幾乎無解。

  先不說高昂的勒索金額，有網友表示即使支付了勒索金額也無法解除。

如何防範勒索病毒？

  1.備份重要檔案

    病毒以加密檔案為手段進行勒索，倘若重要檔案均已備份，使用者就可以無所畏懼了。

  2.更新更新檔

    微軟釋出了新的系統更新檔幫助使用者防範本次大範圍病毒***，甚至連被抛棄N年的Windows XP 系統都得到更新更新檔，這也從側面證明了本次事件的影響有多惡劣。

  3.關閉網絡端口（應急）

    3.1鍵盤Win + R運作，輸入"CMD"，啟動指令行視窗，注意，Win 8以上版本使用者，需要按Win + X，選擇"指令提示符（管理者）A"。接着輸入：netstat -an 指令，檢查打開的端口中，是否有445端口。

  3.22.如果出現上圖式樣，就需要把445端口關閉，需要依次輸入以下指令：

net stop rdr net stop srv net stop netbt

  4.針對某域名進行設定（應急）

    安全人員發現，病毒在勒索行為開始前，會嘗試通路www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個網址，一旦病毒無法通路到網址，就會開始勒索行為。好消息是，該域名現在已被注冊，是以病毒的傳播有望停止。

由于衆所周知的原因，建議大家修改一下HOST，将此網址指向國内可以穩定通路的目标網址。當然，這種方法在***花幾分鐘修改一下通路域名後就會失效，是以還是建議大家采取前兩條方法。

本次事件的啟示？

  1.資訊安全是一個永恒的話題，總是在不斷地演進中。道高一尺，魔高一丈，就是在不斷鬥法中不斷深入。

  2.感謝三大營運商，漏洞洩露的第一時間（3月份）就封鎖了個人使用者的445端口，否則現在受影響的就不僅限于高校使用者了。

  3.對于一部分人來說，遷移到其他作業系統比如Linux真的非常必要，即使僅僅是為了保護自己的資料安全也該進行遷移了。

  4.以後的IT學習道路中，必不可少的學習子產品必然是安全。雖然此次Linux未受沖擊，但将來***必然會越來越多，安全也将越來越重要。

想要了解更多可以其他文章：《Wannacry勒索軟體母體主程式逆向分析》《

騰訊安全團隊深入解析wannacry蠕蟲病毒

》

本文出自 “

運維小當家

” 部落格，請務必保留此出處