WannaCry勒索病毒事件分析

WannaCry勒索病毒事件分析是一款專業(yè)殺毒分析軟件，能幫你盡快找到所有感染并做出隔離，最大程度保護(hù)您的個人信息，有需要這款軟件的小伙伴歡迎下載。

病毒介紹

5月12日晚開始，WannaCry勒索病毒席卷全球。目前至少有150個國家受到網(wǎng)絡(luò)攻擊，受入侵電腦超過20萬，并且影響還在持續(xù)中，用戶依然需要加強(qiáng)防護(hù)措施。

WannaCry勒索病毒事件最初在英國曝光，12日晚上10點，英國時間大約下午3點半，英國全國共16家醫(yī)院同時遭到網(wǎng)絡(luò)攻擊。 所有被攻擊的電腦都被鎖定桌面。“你的電腦已經(jīng)被鎖，文件已經(jīng)全部被加密，除非你支付價值300美元的比特幣，否則你的文件將會被永久刪除”。
很快，在英國地區(qū)遭受這些攻擊的同時，全球多地發(fā)出告警，一場針對全球的網(wǎng)絡(luò)攻擊，瞬時展開。我國多個行業(yè)網(wǎng)絡(luò)同樣受到WannaCry勒索病毒攻擊， 其中教育行業(yè)中的校園網(wǎng)受損尤為嚴(yán)重。目前，全球遭遇攻擊的國家超過150個，幸免的國家，要么沒有電腦，要么沒有網(wǎng)絡(luò)。

病毒分析

通過分析發(fā)現(xiàn)，WannaCry勒索軟件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件， 利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010。雖然微軟已在今年3月份發(fā)布了該漏洞的補(bǔ)丁。但是依然有大量用戶未升級補(bǔ)丁，導(dǎo)致電腦或服務(wù)器中招。
今年4月，方程式組織泄露addjob、swift、windows三個文件夾的數(shù)據(jù)，其中windows目錄下是一些針對Windows系統(tǒng)的一些攻擊工具和漏洞利用程序。 本次“永恒之藍(lán)”攻擊程序就是在此文件夾中的一個攻擊程序。“永恒之藍(lán)”攻擊程序利用的是Windows SMB遠(yuǎn)程提權(quán)漏洞，可以攻擊開放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限。

漏洞影響

深信服防火墻早在一個月前就已經(jīng)發(fā)布針對微軟SMB漏洞的攻擊防護(hù)。從公網(wǎng)上攔截的攻擊來看，從5月12號晚上開始， 不到一天的時間，發(fā)現(xiàn)并攔截針對MS17-010 SMB漏洞的攻擊多達(dá)4590次，其中受災(zāi)最嚴(yán)重的地區(qū)是杭州市，被攻擊次數(shù)多達(dá)1612次。具體被攻擊地區(qū)分布如下圖所示：

其實，勒索病毒并不陌生，這幾年也頻繁出現(xiàn)，然而這次勒索病毒卻聯(lián)合微軟SMB漏洞在全球網(wǎng)絡(luò)制造出核彈級的網(wǎng)絡(luò)攻擊風(fēng)波。 究其原因，是大家對漏洞認(rèn)知較少，也不清楚是否需要防護(hù)，該如何去防護(hù)。

由于沒有相關(guān)監(jiān)測產(chǎn)品對其業(yè)務(wù)進(jìn)行7*24小時的安全值守，導(dǎo)致很多用戶對安全漏洞感知不足，使得攻擊者通過漏洞對其業(yè)務(wù)進(jìn)行勒索。

信服君希望未來能夠幫助越來越多的用戶加強(qiáng)安全預(yù)警的能力，提前將風(fēng)險扼殺在“萌芽期”，避免安全風(fēng)險帶來的損失。