编辑词条
登录
  • 1.摘要
  • 2.基本信息
  • 3.发展历程
  • 4.主要功能
  • 4.1.攻击特点
  • 4.2.攻击类型
  • 5.操作指南
  • 6.调查处理
  • 7.波及范围
  • 7.1.国内
  • 7.2.国外
  • 8.参考资料

WannaCry

2
勒索病毒软件

WannaCry(Wanna Decryptor),是虫式病毒,是一种“蠕虫式”的勒索病毒软件。大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播12

WannaCry通过MS17-010漏洞在全球范围内爆发,并短时间内感染大量的主机,该虫感染了主机后,会向计算机中植入敲诈者病毒,导致电脑大量文件被加密受害者电脑被黑客锁定后,病毒会提示支持价值相当于300美元(约合2069人民币)的比特币才可以解锁,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题12

微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,可以避免遭到勒索软件等病毒的侵害。2019年5月,国家互联网应急中心开通了WannaCry勒索病毒感染数据免费查询服务2

基本信息

  • 中文名

    永恒之蓝

  • 外文名

    WannaCry

  • 别名

    Wanna Decryptor

  • 爆发时间

    2017年5月12日

  • 大小

    3.3MB

发展历程

1/4

2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:

工具名称

主要用途

ETERNALROMANCE

SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD

SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、Windows 2003

EDUCATEDSCHOLAR

SMB服务漏洞,对应MS09-050漏洞,针对445端口

ERRATICGOPHER

SMBv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,不影响windows Vista及之后的操作系统

当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复3

WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#。永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的4

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。

2017年5月13日晚间,由一名英国研究员于无意间发现的WannaCry隐藏开关(Kill Switch)域名,意外的遏制了病毒的进一步大规模扩散。

2017年5月14日,监测发现,WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。

2019年5月,国家互联网应急中心开通了WannaCry勒索病毒感染数据免费查询服务5

主要功能

攻击特点

1/3

WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。

被该勒索软件入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为.WNCRY,并会在桌面弹出勒索对话框,要求受害者支付价值数百美元的比特币到攻击者的比特币钱包,且赎金金额还会随着时间的推移而增加6。。

攻击类型

1/3

常用的Office文件(扩展名为.ppt、.doc、.docx、.xlsx、.sxi)