国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。
勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。
其中u.wnry*就是后续弹出的勒索窗口。
窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。
通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xl.xl.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.pp.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.a.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY
此时如果点击勒索界面的decrypt,会弹出解密的框。
但必须付钱后,才可以解密
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。
作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。
WannaCry 2.0病毒查杀修复工具功能:
1、查杀最新的比特币勒索病毒
2、帮助用户恢复勒索病毒文件
3、预防勒索病毒侵入
所谓“勒索病毒”,是黑客用来攻击用户计算机,对计算机内部的信息、资源进行加密,并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付,目的在于隐蔽黑客身份。据了解,按照“汇率”,1比特币约等于582美元。
根据美国政府的统计,在美国国内,单单2016年,“勒索软件”攻击发生的频率就激增了300%,几乎每天都有4000件此类勒索案件发生,其危害程度绝对不容忽视。
“勒索病毒”蔓延迅猛,一旦受到感染,用户会陷入无处脱逃的困境,是否支付赎金是一个两难的问题,所以“预防”是唯一也是最好的办法。
HKCERT提出了一些避免受勒索软件影响的建议:
Tips 1. 删除收到的可疑电邮,尤其是包含链接或附件的。
2. 部份微软Office档案会要求用户启动“宏”以观看其内容,对此类电邮附件必须提高警觉。
3. 定期备份电脑上的档案。
4. 确保更新电脑上的入侵防护保安软件。
5. 保持更新操作系统及其他软件。
6. 一旦受到感染,马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。
7. 不建议支付赎金。
8. 下载软件使用手机、电脑的官方软件下载平台。
克罗地亚对加拿大比赛前瞻分析