2017年5月12日勒索病毒事件处置工作复盘
一、事件始末:
2017年5月12日勒索病毒在我国出现案例,我公司售后部及时发现相关报道,并与2017年5月13日早8点开始参考“国家互联网应急中心”的《关于防范Windows操作系统勒索软件Wannacry的情况通报》,制定出《太原市无间科技勒索加密软件预警及防止预案V1.0》,在早晨8点30分开始,销售部结合其可能传播的行业,如:公安、教育等进行突击回访,帮助我公司客户尽可能避免损失。
二、处置成果:
截止到2017年5月15日下午17点,销售部共计:通过电话通知113家客户,上门协助客户加固网络系统12家,发送邮件96封防治预案邮件,通过微信、QQ传递预案文件68个。
售后部在此期间与省厅以及各信息安全厂商(安恒、360、瑞星等)积极沟通、测试,并与2017年5月15日中午10点推出《太原市无间科技勒索加密软件(勒索病毒)预警及防止预案V2.0》。
三、后续工作:
为了能更好的为教育行业提供协助,在2017年5月23日在公司“贵宾报告厅”特邀请网监大队马队长以及26所高校信息中心主管领导、工程师就等保以及勒索病毒事件处置进行交流。
截止本稿发布日期,本次勒索病毒事件未给我公司客户带来任何危害,公司从2017年6月12日通过销售进行“勒索病毒变种及系统加固”需求回访,解决“类似勒索病毒再次爆发,我单位如何防止不被感染,数据不会被恶意加密?我们现在应该做哪些工作?”等实际问题。
四、勒索病毒技术小结:
Ø勒索病毒涉及到的技术点:
ü445端口,通过它可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客和病毒同样可以利用它进行攻击和传播。
üMS17-010漏洞(EternalBlue漏洞)。
Ø勒索病毒一般指WannaCry
WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。爆发至今至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
Ø病毒概况
2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。)
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。
2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。
2017年5月14日,监测发现,WannaCry勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
Ø攻击特点
WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。
被该勒索软件入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为.WNCRY,并会在桌面弹出勒索对话框,要求受害者支付价值数百美元的比特币到攻击者的比特币钱包,且赎金金额还会随着时间的推移而增加。
Ø攻击对象类型
ü常用的Office文件(扩展名为.ppt、.doc、.docx、.xlsx、.sxi)
ü并不常用,但是某些特定国家使用的office文件格式(.sxw、.odt、.hwp)
ü压缩文档和媒体文件(.zip、.rar、.tar、.mp4、.mkv)
ü电子邮件和邮件数据库(.eml、.msg、.ost、.pst、.deb)
ü数据库文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)
ü开发者使用的源代码和项目文件(.php、.java、.cpp、.asp、.asm)
ü密匙和证书(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)
ü美术设计人员、艺术家和摄影师使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)
ü虚拟机文件(.vmx、.vmdk、.vdi)
五、处置方法
1、企业服务器用户,应针对服务器全部重要数据进行一次全面备份,同时采取相关备份措施,及时调整及制定备份策略,保护服务器数据的安全;
2、终端计算机用户应首先关闭网络共享及文件共享,同时针对操作系统关闭不必要开发的端口,如445、135、137、138、139等端口;
3、终端计算机用户应对于重要文件备份到其它存储介质中,进行离线存储,保证数据的安全;对于备份到云端的用户,请关闭自动同步功能,避免文件被加密后同步云端造成的数据损失;
4、利用微软发布的“MS17-010”补丁修复“永恒之蓝”攻击的系统漏洞,请及时下载修复;【XP、2003用户可下载相关免疫工具进行防护】;
5、补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010
6、网络系统管理员应根据企业情况在边界出口处禁止互联网针对企业网络445、135、137、138、139等端口的连接。
7、免疫工具及解决方案
Ø瑞星解决方案下载地址:
https://202.97.152.201:443/#/link/7BE947E6F34752B1742C5950EDBCD98F
Ø360解决方案下载地址:
“永恒之蓝”勒索蠕虫漏洞修复工具:http://b.360.cn/other/onionwormfix
“永恒之蓝”勒索蠕虫专杀工具:http://b.360.cn/other/onionwormkiller
8、基本处置方法:已经感染的计算机,及时断网并隔离重新安装系统,不应有对相应账户进行办款等行为。对于没有感染的计算机或系统利用备份系统做好数据备份。
太原市无间科技有限公司