具國外消息證實(shí),席卷全球的勒索病毒W(wǎng)annaCry浸遗,在5月13日晚間被互聯(lián)網(wǎng)安全人員找到阻止其傳播的方法猫胁。
5 月 12 日席卷全球的WannaCrypt(永恒之藍(lán))勒索蠕蟲攻擊已經(jīng)停下攻擊的腳步。原因是安全人員分析了其行為跛锌,發(fā)現(xiàn)病毒會(huì)嘗試對(duì)一個(gè) iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名執(zhí)行HTTP GET請(qǐng)求操作弃秆,如果DNS解析失敗,它會(huì)繼續(xù)進(jìn)行感染操作髓帽,如果解析成功菠赚,該程序?qū)?huì)結(jié)束。
病毒利用了ETERNALBLUE SMB 漏洞進(jìn)行勒索軟件的傳播和感染郑藏,其中樣本開始就連接了域名http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com測(cè)試網(wǎng)絡(luò)連通性衡查,如果能連通,則直接退出必盖,如果不能連通拌牲,則繼續(xù)后續(xù)行為。使用此種方式筑悴,可以在攻擊者想要停止攻擊時(shí)们拙,即采用將未注冊(cè)的域名進(jìn)行注冊(cè)的方式,停止此樣本的進(jìn)一步擴(kuò)散阁吝。目前該域名被一位國外安全人員注冊(cè)。安全人員分析該病毒通過創(chuàng)建服務(wù)啟動(dòng)械拍,每次開機(jī)都會(huì)自動(dòng)啟動(dòng)突勇。
該病毒通過分別掃描內(nèi)網(wǎng)和外網(wǎng)的IP装盯,開始進(jìn)程蠕蟲傳播感染。對(duì)公網(wǎng)隨機(jī)ip地址445端口進(jìn)行掃描感染甲馋。對(duì)于局域網(wǎng)埂奈,則直接掃描當(dāng)前計(jì)算機(jī)所在的網(wǎng)段進(jìn)行感染。感染過程定躏,嘗試連接445端口账磺。如果連接成功,則對(duì)該地址嘗試進(jìn)行漏洞攻擊感染痊远。
這個(gè)域名相當(dāng)于一個(gè)停止開關(guān)垮抗,中招的機(jī)器軟件在發(fā)作前如果能訪問到這個(gè)域名,則不會(huì)發(fā)作;但是發(fā)作后的已經(jīng)受到影響的計(jì)算機(jī)碧聪,由于內(nèi)網(wǎng)機(jī)器訪問不到會(huì)繼續(xù)發(fā)作冒版,因?yàn)槠渌蛟L問不到的這個(gè)域名的也會(huì)繼續(xù)發(fā)作。目前這一消息也得到國內(nèi)獵豹移動(dòng)安全專家李鐵軍和安天實(shí)驗(yàn)室的證實(shí)逞姿。
如果想要破解病毒的攻擊辞嗡,可以嘗試讓計(jì)算機(jī)聯(lián)網(wǎng)到互聯(lián)網(wǎng),并且能夠正常訪問該域名滞造,國內(nèi)由于眾所周知的原因续室,部分電腦可能無法訪問該域名,可以使用第三方軟件解析dns谒养。到目前為止猎贴,病毒作者為何設(shè)置了這一停止條件依然未知。此次勒索事件與以往相比最大的特點(diǎn)在于蝴光,勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播她渴,傳播方式采用了前不久NSA被泄漏出來的MS17- 010 漏洞。在NSA泄漏的文件中蔑祟,WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”趁耗,所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”。
MS17- 010 漏洞指的是疆虚,攻擊者利用該漏洞苛败,向用戶機(jī)器的 445 端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文,實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行径簿。如果用戶電腦開啟防火墻罢屈,也會(huì)阻止電腦接收 445 端口的數(shù)據(jù)。但是在中國高校內(nèi)篇亭,同學(xué)之間為了打局域網(wǎng)游戲缠捌,有時(shí)需要關(guān)閉防火墻,這也是此次事件在中國高校內(nèi)大肆傳播的原因译蒂。
對(duì)于如何防范的問題曼月,由于該病毒利用Windows系統(tǒng)遠(yuǎn)程漏洞進(jìn)行傳播谊却,是此次勒索軟件的一大特點(diǎn),也是在高校爆發(fā)的根本原因哑芹,所以開啟防火墻是簡(jiǎn)單直接的方法炎辨。另外可以通過關(guān)閉445端口阻止病毒的進(jìn)一步攻擊,具體關(guān)閉辦法可以參考http://news.chinabyte.com/hot/248/14161248.shtml或者h(yuǎn)ttps://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
本文由“拍星星”發(fā)布聪姿,2017年5月15日
