信息化
首页  >  信息化  >  信息化要闻

WannaCry病毒|细剖事件寻蹊跷,匡恩网络探真知

2017-05-15  来源:中国信息产业网  作者:

01  事件回顾

WannaCry首次被发现为5月12日,位置为西班牙电信部门,之后被发现受影响地区为英国,接着扩散至全球各地。中国爆发时间为5月12日下午2点左右。WannaCry病毒愈演愈烈,据称,截止到中国时间5月14日21:53分,已经有126人对此蠕虫作者支付了比特币。各大安全厂商纷纷对利用MS17-010漏洞形成的WannaCry病毒进行了详尽分析,匡恩网络早在4月27日,就针对MS17-010漏洞进行了技术分析(技术分析丨Equation Group泄漏工具简介与MS17-010漏洞利用)。5月13日,匡恩网络首次在工业控制网络安全领域内对该病毒的破坏效果进行了分析,并结合匡恩网络的产品给出了相应的安全解决方案。(匡恩网络工控卫士应对勒索者“蠕虫”病毒 “Wannacry”)

02  分析研究误区

绝大多数分析文章中,都将蠕虫运行时所连接的域名认为是所谓的“秘密开关”。匡恩网络安全研究人员针对本次勒索病毒的大量样本和变种进行研究发现,此事绝非如此简单!攻击者绝非如此好心!大部分的分析研究都存在误区:

“WannaCry运行时所连接的网站并非是秘密开关,也不是攻击者好心的控制开关,而是躲避沙箱、自动化分析系统等检测所留下的。”其原理在于,沙箱等自动化会模拟域名连接等成功,达到模拟环境的目的,因为该蠕虫的域名是不存在的,所以连接肯定是不成功,如果连接成功,则代表自身在沙箱等程序中,则自动退出。

截至发稿时间,匡恩网络安全研究团队最新发现,已截取到新变种,利用地址为www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com,跟上一个域名地址相差2个字母,目前已发现多个变种。

03 亡羊补牢未为晚

一、请立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/ zh-cn/ library/ security/ MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。

三、一旦发现中毒机器,立即断网。

四、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭TCP135 、445 、139和UDP137 、138端口,关闭网络文件共享。

五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

六、尽快备份自己电脑中的重要文件资料到存储设备上。

七、及时更新操作系统和应用程序到最新的版本。

八、加强电子邮件安全,有效的阻拦掉钓鱼邮件,可以消除很多隐患。

九、安装正版操作系统、Office软件等。

十、内网管理员将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名解析指向在线的内部web服务器。

04  抢救个人数据事不宜迟

一、通过文件系统删除恢复原理进行恢复

WannaCry蠕虫删除原文件与普通的文件删除过程情形一致,可以通过文件系统的删除恢复原理对数据尝试恢复。这也是目前国内有部分安全厂商提供的工具的运行方法。但是此方式的局限性在于必需确保原文件删除后未被新的数据覆盖,如果后续文件读写操作操作比较多,则可能造成数据恢复失败,数据恢复可能性较差。

二、通过卷影副本数据进行恢复

卷影副本服务是Windows系统默认开启的文件备份服务。该服务在Windows XP/2003开始引入,Windows 2003 Server/Vista 得到加强,并在Windows 7/8/8.1/10所有版本默认开启的,可以在一定条件下保存文件的历史版本数据。通过一定的方式读取并导出文件的历史版本,即可“恢复”出相关数据,若计算机在被感染前一天有开机系统默认备份过,更有可能实现100%数据恢复。

关键词:WannaCry病毒 蠕虫 比特币