wncryt病毒大爆發
北京時間2017年5月12日20時左右,全球爆發大規模勒索軟件感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。
據BBC報道,今天全球很多地方爆發一種軟件勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和數據,英國多家醫院中招,病人資料威脅外泄,同時俄羅斯,意大利,整個歐洲,包括中國很多高校……
該勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基於445端口傳播擴散的SMB漏洞MS17-101,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”後進行了些次全球性的大規模攻擊事件。
安天依托對“勒索軟件”的分析和預判,不僅能夠有效檢測防禦目前“勒索軟件”的樣本和破壞機理,還對後續“勒索軟件”可能使用的技巧進行了布防。安天智甲終端防禦系統完全可以阻止此次勒索軟件新家族“wannacry”加密用戶磁盤文件。
事件分析
該勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基於445端口傳播擴散的SMB漏洞MS17-101,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”後進行了些次全球性的大規模攻擊事件。
當系統被該勒索軟件入侵後,彈出勒索對話框:
加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,被加密的文件後綴名被統一修改為“.WNCRY”。
攻擊者極其囂張,號稱“除攻擊者外,就算老天爺來了也不能恢復這些文檔” (該勒索軟件提供免費解密數個加密文件以證明攻擊者可以解密加密文件,“點擊 <Decrypt> 按鈕,就可以免費恢復一些文檔。”該勒索軟件作者在界面中發布的聲明表示,“3天內付款正常,三天後翻倍,一周後不提供恢復”。)
該勒索軟件會將自身復制到每個文件夾下,[email protected]@.exe”。並衍生大量語言配置等文件:
c:\Users\gxb\Desktop\@[email protected]
c:\Users\gxb\Desktop\@[email protected]
c:\Users\gxb\Desktop\@[email protected]
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry
c:\Users\gxb\Desktop\msg\m_chinese (simplified).wnry
c:\Users\gxb\Desktop\msg\m_chinese (traditional).wnry
c:\Users\gxb\Desktop\msg\m_croatian.wnry
c:\Users\gxb\Desktop\msg\m_czech.wnry
c:\Users\gxb\Desktop\msg\m_danish.wnry
c:\Users\gxb\Desktop\msg\m_dutch.wnry
c:\Users\gxb\Desktop\msg\m_english.wnry
c:\Users\gxb\Desktop\msg\m_filipino.wnry
c:\Users\gxb\Desktop\msg\m_finnish.wnry
c:\Users\gxb\Desktop\msg\m_french.wnry
c:\Users\gxb\Desktop\msg\m_german.wnry
c:\Users\gxb\Desktop\msg\m_greek.wnry
c:\Users\gxb\Desktop\msg\m_indonesian.wnry
c:\Users\gxb\Desktop\msg\m_italian.wnry
c:\Users\gxb\Desktop\msg\m_japanese.wnry
c:\Users\gxb\Desktop\msg\m_korean.wnry
c:\Users\gxb\Desktop\msg\m_latvian.wnry
c:\Users\gxb\Desktop\msg\m_norwegian.wnry
c:\Users\gxb\Desktop\msg\m_polish.wnry
c:\Users\gxb\Desktop\msg\m_portuguese.wnry
c:\Users\gxb\Desktop\msg\m_romanian.wnry
c:\Users\gxb\Desktop\msg\m_russian.wnry
c:\Users\gxb\Desktop\msg\m_slovak.wnry
c:\Users\gxb\Desktop\msg\m_spanish.wnry
c:\Users\gxb\Desktop\msg\m_swedish.wnry
c:\Users\gxb\Desktop\msg\m_turkish.wnry
c:\Users\gxb\Desktop\msg\m_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe
該勒索軟件AES和RSA加密算法,加密的文件以“WANACRY!”開頭:
加密如下後綴名的文件:
.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG
目前我們提供此病毒的臨時購買密鑰解密方法,不推薦交贖金。除非得以數據重要的可以聯系我們。
扣扣:2902716957
wncryt病毒大爆發