勒索者木马肆虐世界 许多大学校园网用户被勒索
英国医院昨天受到攻击,随后肆虐中国大学WannaCry腾讯平安反病毒实验室首次对勒索进行了深入权威的分析。 ??英国医院昨天受到攻击,随后肆虐中国大学WannaCry腾讯平安反病毒实验室首次对勒索进行了深入权威的分析。与过去相比,勒索事项最大的亮点是勒索病毒以蠕虫的方式传播,不久前采用了NSA泄漏MS17-010破绽。在NSA在泄露的文件中,WannaCry流传方式的破绽行使代码被称为EternalBlue因此,有报道称这次攻击是永恒之蓝。??MS17-010缺陷是指攻击者行使缺陷,将精心设计的网络数据包发送到用户机械的445端口,实现远程代码执行。大多数大学的网络环境对445端口没有警惕,这也是大学成为灾区的原因之一。 攻击流程
??勒索病毒被破绽远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包括后续弹出勒索框exe,桌面背景图片bmp,勒索字体包括各种语言,还有两个辅助攻击exe文件。将这些文件发布到内陆目录并设置为隐藏。 
??其中u.wnry*是后续弹出的勒索窗。 
??窗口右上角的语言选择框可以为不同国家的用户定制显示。这些字体信息也存在于资源文件发布的压缩包中。
??通过对病毒的分析,
WannaCry病毒要变种吗?比特币敲诈一直在进化
可面的后缀名文件可以加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.
ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.
602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.
vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.
mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.
vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.
sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.
max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der
??以图片为例,查看电脑中的图片,发现图片文件已被勒索软件通过Windows Crypto API举行AES RSA组合加密。而且后缀名改为*.WNCRY
??如果此时点击勒索界面decrypt,解密框会弹出。
??但解密前必须付款。
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
??作者现在通过这三个账户随机选择一个作为钱包地址,收取非法钱。
提防建议
??行使Windows系统远程破绽举行流传,是此次勒索软件的一大特点,也是在高校发作的根本缘故原由,以是开启防火墙是简朴直接的方式。下面以Windows 7简单描述图例,如何关闭445端口。
1. 打开控制面板,点击防火墙
2. 点击高级设置
3. 点击入站规则
4. 勾中端口
5. 检查特定内陆端口,填写445,点击下一步
6. 点击阻止链接,继续下一步,并命名规则。
??此外,微软补丁的升级也可以防止攻击。此外,计算机管家的实时安全和珍惜考虑到缺陷防御和自动阻塞。请保持腾讯计算机管家的开放状态,并尽快使用缺陷修复效果进行扫描和修复。
【关键词】腾讯电脑管家 永恒蓝445端口 WannaCry
腾讯安全专家:WannaCry勒索病毒不会感染手机