情'Blog 文章列表: [首页] 第2页 第3页 第4页 第5页 第6页 [尾页]


WannaCry勒索病毒文件攻击流程

发布日期: 2017-05-13    浏览次数:     文章作者: qing edit

WannaCry勒索病毒文件攻击流程:

勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。

其中u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的decrypt,会弹出解密的框。

但必须付钱后,才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

精彩视频


WannaCry 2.0病毒查杀修复工具功能:

1、查杀最新的比特币勒索病毒

2、帮助用户恢复勒索病毒文件

3、预防勒索病毒侵入

勒索病毒是什么:

所谓“勒索病毒”,是黑客用来攻击用户计算机,对计算机内部的信息、资源进行加密,并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付,目的在于隐蔽黑客身份。据了解,按照“汇率”,1比特币约等于582美元。

根据美国政府的统计,在美国国内,单单2016年,“勒索软件”攻击发生的频率就激增了300%,几乎每天都有4000件此类勒索案件发生,其危害程度绝对不容忽视。

“勒索病毒”蔓延迅猛,一旦受到感染,用户会陷入无处脱逃的困境,是否支付赎金是一个两难的问题,所以“预防”是唯一也是最好的办法。

勒索病毒防治方法:

HKCERT提出了一些避免受勒索软件影响的建议:

Tips 1. 删除收到的可疑电邮,尤其是包含链接或附件的。 

2. 部份微软Office档案会要求用户启动“宏”以观看其内容,对此类电邮附件必须提高警觉。 

3. 定期备份电脑上的档案。

4. 确保更新电脑上的入侵防护保安软件。

5. 保持更新操作系统及其他软件。

6. 一旦受到感染,马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。

7. 不建议支付赎金。

8. 下载软件使用手机、电脑的官方软件下载平台。

360企业安全天擎团队提供的针对“永恒之蓝”勒索蠕虫所利用漏洞的修复工具。运行该工具后,会自动检测系统是否存在相关漏洞,并提供修复方法。

介绍:http://b.360.cn/other/onionwormfix
下载地址:http://down.b.360.cn/EternalBlueFix.zip

md5:3546C6F87914282C0A03696997ADBE42
sha1:A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
sha256:9F7FCE9B15EE65AF1349C74C8AB200C9AD6C0C45C74E3945F0D4B333AF264207

病毒免疫预防措施

360企业安全天擎团队提供的系统免疫工具;在电脑上运行以后,现有蠕虫将不会感染系统。

介绍:http://b.360.cn/other/onionwormimmune
下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe

版本:1.0.0.1015
MD5:90cb913660d2f8abb23d8176bafc34ec
sha1:6ae5667431b56a615c2a1987f78836312aa0128d
sha256:2d34be95dd7487670bb39cfd1d16cf74d2dfda22d7e450486968b1a563767e97

此工具有以下两种免疫方式:

基本免疫

通过抢占WannaCry勒索蠕虫运行时创建的内核对象,迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。

增强免疫

除了基本免疫功能外,根据《WanaCrypt0r勒索蠕虫完全分析报告》,还可通过劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。

操作方法如下:

  1. 在内网服务器中部署http server,在http://nginx.org/en/download.html中下载运行http server;
  2. 查看http server所在服务器的ip,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为“OnionWormImmune(xxx.xxx.xxx.xxx).exe”, 其中“xxx.xxx.xxx.xxx”为http server IP地址;
  3. 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果;

其他预防措施

1.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。利用系统防火墙高级设置阻止向445端口进行连接。
2.使用自动更新升级到Windows的最新版本。
3.在内外网边界出口禁止外网对内网135/137/139/445端口的连接;
4.在网络核心主干交换路由设备禁止135/137/139/445端口的连接。
5.定期对电脑内重要文件资料进行备份。

临时建议:

防火墙上阻断445端口的访问;
暂时关闭Server服务;
尽快升级;
强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。

病毒查杀方法

360企业安全天擎团队提供的针对永恒之蓝”勒索蠕虫(wannacry蠕虫)的专杀工具。

介绍:http://b.360.cn/other/onionwormkiller
下载地址:http://dl.b.360.cn/tools/wanaKiller.exe

MD5:2fb6554ccc930533b8492c7c36780a89
sha1:9ceefdd65c1021ac2ffd7207026f165cca0fa8d0
sha256:e91b82790b5a8d9a20e743b9ed1c188db7083c0d7b2257ce21f1f3e20895d371

文件恢复方法

介绍:http://weibo.com/ttarticle/p/show?id=2309404107129664487886

360首发勒索蠕虫病毒文件恢复工具:http://dl.360safe.com/recovery/RansomRecovery.exe 

WNCRY病毒疯狂攻击全球上百个国家,无数宝贵资料被病毒加密,甚至有大学生毕业论文被锁死。360深入分析病毒原理,发现有可能恢复一定比例文件的急救方案,成功概率会受到文件数量等多重因素影响,详细教程见本文。越早操作,成功率越高!!

1.首先安装360安全卫士,选择漏洞修复,打好安全补丁,预防再次被攻击
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法

2.使用360木马查杀功能,清除全部木马,防止反复感染。
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法
3.下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
下载地址: http://dl.360safe.com/recovery/RansomRecovery.exe
选择加密文件所在驱动器
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法

扫描后,选择要恢复的文件
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法

强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上
蠕虫病毒勒索软件Wannacry的预防、免疫、查杀、文件恢复办法

本工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。

我们尽力而为,但无法确保能够成功恢复多大比例的文件。祝您好运!


<< 留言评论 >>

本文:WannaCry勒索病毒文件攻击流程,来自情'Blog

低价出售:六合彩,时时彩,股票T+0 现金皇冠网,等投注平台源码 另外出售:全讯网,足球比分,直播网,小姐威客网,同城交友 网狐棋牌整站带教程,充气娃娃销售下单源码 联系QQ:33089632

上一篇:【顶置任务】仿做一套 棋牌 3端 程序源码 详细请入内 欢迎推荐 下一篇:飞碟娱乐 如意彩 如意五分彩 如意分分彩 php mysql程序

点击这里给我发消息

      神刀网      雨路    iick     人生注入点    啊D  sh3llc0de  暗月

           免责申明:

本站开放的目的是收集各种Web漏洞资源,给予代码分析审计人员和脚本安全研究人员的一些学习资料或者参考资料!本网站提供的源码与平台或工具,仅为程序爱好者提供学习交流用,绝不能用做非法用途,任何情况下引触所属地区之法律,网友须自行承担责任,与本站无任何关系与法律风险,所以任何人不得将此用于非法途径!漏洞作者以及本站不承担任何风险!

Copyright© 2010-9999 情'Blog, all right reserved.