一分鐘瞭解勒索病毒WannaCry（永恆之藍）

勒索病毒WannaCry（永恆之藍）

  日前，"永恆之藍"席捲全球，已經有90個國家遭到***。國內教育網是遭到***的重災區。不過，在安裝相對老舊版本Windows的電腦普遍遭到***之時，不少安裝linux衍生版操作系統的電腦和蘋果電腦逃過一劫。不少網友在網上紛紛表示慶幸，並對linux或蘋果的安全性大加讚美之詞。但實際上，並非是這些操作系統在技術上擁有明顯高於Windows安全性，只是***沒有專門針對其進行***而已。

病毒勒索事件概況

  從5月12日開始，勒索病毒在全球範圍內爆發。

  首先中招的是大英帝國。全英國上下多達25家醫院和醫療組織遭到大範圍網絡***。醫院的網絡被攻陷，電腦被鎖定，電話打不通.......***向每家醫院索要300比特幣（接近400萬人民幣）的贖金，如果3天之內沒有交上，贖金翻倍，如果7天內沒有支付，***將刪除所有資料....

  隨後***面積不斷擴大，中國大批高校也出現感染情況。衆多師生的電腦文件被病毒加密，只有支付贖金才能恢復。作爲985院校之一的山東大學也沒能倖免於難。

  目前在傳播的勒索病毒以ONION和WNCRY兩個家族爲主，中毒後的表現是：受害機器的磁盤文件會被篡改爲相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別爲5萬多元和2000多元。

勒索事件的起源

事情起源於兩個頂級***組織的撕X:

  NSA（美國國家安全局）的最強***組織"方程組"和專門販賣重磅信息的頂級***組織"暗影經紀人"。

事件時間軸

  1. 在2016 年 8 月有一個"Shadow Brokers"的***組織號稱***了方程式組織竊取了大量機密文件，並將部分文件公開到了互聯網上，方程式(Equation Group)據稱是 NSA(美國國家安全局)下屬的***組織，有着極高的技術手段。

  這部分被公開的文件包括不少隱蔽的地下的***工具。另外 "Shadow Brokers" 還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，"Shadow Brokers" 預期的價格是 100 萬比特幣(價值接近5億美元)。而"Shadow Brokers" 的工具一直沒賣出去。

  2. 北京時間 2017 年 4 月 8 日，"Shadow Brokers" 公佈了保留部分的解壓縮密碼，有人將其解壓縮後的上傳到Github網站提供下載。

  3. 北京時間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼後，"Shadow Brokers" ，在推特上放出了第二波保留的部分文件。此次發現其中包括新的23個***工具。這些***工具被命名爲OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EternalBLUE，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

再後來的事情，就是EternalBLUE（永恆之藍）被***利用來進行敲詐。

所以總結起來就是：

  Shadow Brokers這家***組織公佈了NSA的一些***工具，"永恆之藍"只是其中一個利用445端口進行***的工具。這些工具被人利用，所以導致此病毒爆發。

勒索病毒的機制？

  1.WannaCry***流程

  2. WannaCry***機制

  勒索病毒是由NSA泄漏的"永恆之藍"***武器傳播的。"永恆之藍"可遠程***Windows的445端口（文件共享），如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，"永恆之藍"就能在電腦裏執行任意代碼，植入勒索病毒等惡意程序。

受害機器的磁盤文件會被篡改爲相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

爲什麼此次病毒受害者多爲高校、醫院等機構？

  前面已經說過，病毒是利用445端口進行***。由於國內曾多次出現利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網並無此限制，存在大量暴露着445端口的機器，因此成爲不法分子使用NSA***武器***的重災區。

中毒後如何解除？

  很抱歉，目前幾乎無解。

  先不說高昂的勒索金額，有網友表示即使支付了勒索金額也無法解除。

如何防範勒索病毒？

  1.備份重要文件

    病毒以加密文件爲手段進行勒索，倘若重要文件均已備份，用戶就可以無所畏懼了。

  2.更新補丁

    微軟發佈了新的系統補丁幫助用戶防範本次大範圍病毒***，甚至連被拋棄N年的Windows XP 系統都得到更新補丁，這也從側面證明了本次事件的影響有多惡劣。

  3.關閉網絡端口（應急）

    3.1鍵盤Win + R運行，輸入"CMD"，啓動命令行窗口，注意，Win 8以上版本用戶，需要按Win + X，選擇"命令提示符（管理員）A"。接着輸入：netstat -an 命令，檢查打開的端口中，是否有445端口。

  3.22.如果出現上圖式樣，就需要把445端口關閉，需要依次輸入以下命令：

net stop rdr
net stop srv
net stop netbt

  4.針對某域名進行設定（應急）

    安全人員發現，病毒在勒索行爲開始前，會嘗試訪問www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個網址，一旦病毒無法訪問到網址，就會開始勒索行爲。好消息是，該域名現在已被註冊，所以病毒的傳播有望停止。

由於衆所周知的原因，建議大家修改一下HOST，將此網址指向國內可以穩定訪問的目標網址。當然，這種方法在***花幾分鐘修改一下訪問域名後就會失效，所以還是建議大家採取前兩條方法。

本次事件的啓示？

  1.信息安全是一個永恆的話題，總是在不斷地演進中。道高一尺，魔高一丈，就是在不斷鬥法中不斷深入。

  2.感謝三大運營商，漏洞泄露的第一時間（3月份）就封鎖了個人用戶的445端口，否則現在受影響的就不僅限於高校用戶了。

  3.對於一部分人來說，遷移到其他操作系統比如Linux真的非常必要，即使僅僅是爲了保護自己的資料安全也該進行遷移了。

  4.以後的IT學習道路中，必不可少的學習模塊必然是安全。雖然此次Linux未受衝擊，但將來***必然會越來越多，安全也將越來越重要。

想要了解更多可以其他文章：《Wannacry勒索軟件母體主程序逆向分析》《騰訊安全團隊深入解析wannacry蠕蟲病毒》