WannaCry勒索病毒事件分析

WannaCry勒索病毒事件分析是一款專業(yè)殺毒分析軟件，能幫你盡快找到所有感染并做出隔離，最大程度保護(hù)您的個(gè)人信息，有需要這款軟件的小伙伴歡迎下載。

病毒介紹

5月12日晚開(kāi)始，WannaCry勒索病毒席卷全球。目前至少有150個(gè)國(guó)家受到網(wǎng)絡(luò)攻擊，受入侵電腦超過(guò)20萬(wàn)，并且影響還在持續(xù)中，用戶依然需要加強(qiáng)防護(hù)措施。

WannaCry勒索病毒事件最初在英國(guó)曝光，12日晚上10點(diǎn)，英國(guó)時(shí)間大約下午3點(diǎn)半，英國(guó)全國(guó)共16家醫(yī)院同時(shí)遭到網(wǎng)絡(luò)攻擊。 所有被攻擊的電腦都被鎖定桌面。“你的電腦已經(jīng)被鎖，文件已經(jīng)全部被加密，除非你支付價(jià)值300美元的比特幣，否則你的文件將會(huì)被永久刪除”。
很快，在英國(guó)地區(qū)遭受這些攻擊的同時(shí)，全球多地發(fā)出告警，一場(chǎng)針對(duì)全球的網(wǎng)絡(luò)攻擊，瞬時(shí)展開(kāi)。我國(guó)多個(gè)行業(yè)網(wǎng)絡(luò)同樣受到WannaCry勒索病毒攻擊， 其中教育行業(yè)中的校園網(wǎng)受損尤為嚴(yán)重。目前，全球遭遇攻擊的國(guó)家超過(guò)150個(gè)，幸免的國(guó)家，要么沒(méi)有電腦，要么沒(méi)有網(wǎng)絡(luò)。

病毒分析

通過(guò)分析發(fā)現(xiàn)，WannaCry勒索軟件是不法分子通過(guò)改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件， 利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010。雖然微軟已在今年3月份發(fā)布了該漏洞的補(bǔ)丁。但是依然有大量用戶未升級(jí)補(bǔ)丁，導(dǎo)致電腦或服務(wù)器中招。
今年4月，方程式組織泄露addjob、swift、windows三個(gè)文件夾的數(shù)據(jù)，其中windows目錄下是一些針對(duì)Windows系統(tǒng)的一些攻擊工具和漏洞利用程序。 本次“永恒之藍(lán)”攻擊程序就是在此文件夾中的一個(gè)攻擊程序�！坝篮阒�藍(lán)”攻擊程序利用的是Windows SMB遠(yuǎn)程提權(quán)漏洞，可以攻擊開(kāi)放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限。

漏洞影響

深信服防火墻早在一個(gè)月前就已經(jīng)發(fā)布針對(duì)微軟SMB漏洞的攻擊防護(hù)。從公網(wǎng)上攔截的攻擊來(lái)看，從5月12號(hào)晚上開(kāi)始， 不到一天的時(shí)間，發(fā)現(xiàn)并攔截針對(duì)MS17-010 SMB漏洞的攻擊多達(dá)4590次，其中受災(zāi)最嚴(yán)重的地區(qū)是杭州市，被攻擊次數(shù)多達(dá)1612次。具體被攻擊地區(qū)分布如下圖所示：

其實(shí)，勒索病毒并不陌生，這幾年也頻繁出現(xiàn)，然而這次勒索病毒卻聯(lián)合微軟SMB漏洞在全球網(wǎng)絡(luò)制造出核彈級(jí)的網(wǎng)絡(luò)攻擊風(fēng)波。 究其原因，是大家對(duì)漏洞認(rèn)知較少，也不清楚是否需要防護(hù)，該如何去防護(hù)。

由于沒(méi)有相關(guān)監(jiān)測(cè)產(chǎn)品對(duì)其業(yè)務(wù)進(jìn)行7*24小時(shí)的安全值守，導(dǎo)致很多用戶對(duì)安全漏洞感知不足，使得攻擊者通過(guò)漏洞對(duì)其業(yè)務(wù)進(jìn)行勒索。

信服君希望未來(lái)能夠幫助越來(lái)越多的用戶加強(qiáng)安全預(yù)警的能力，提前將風(fēng)險(xiǎn)扼殺在“萌芽期”，避免安全風(fēng)險(xiǎn)帶來(lái)的損失。