站内搜索

WannaCry 勒索病毒预防及应对策略研究

  WannaCry 勒索病毒的爆发对社会的生产与生活造成了巨大的影响,该文先对WannaCry勒索病毒的蠕虫部分及勒索病毒部分进行分析研究,再针对该病毒攻击的客观规律,提出了有效的预防及应对策略。

  2017年5月12日,黑客借助由美国国家安全局泄露出的漏洞攻击工具,利用高危漏洞EternalBlue(永恒之蓝)在世界范围内传播WannaCry勒索病毒致使WannaCry勒索病毒大爆发。据相关报道,包括美国、英国、中国等在内的150多个国家地区近30万台设备均受到其攻击。其影响涉及教育、金融、能源和医疗等众多行业,造成了严重的信息安全问题。在我国,部分校园网用户受害严重,实验室数据和毕业设计被锁定加密,部分大型企业由于应用系统和数据库文件被加密后无法正常工作,影响巨大。在信息化发展如此迅猛的今天,其带来的危害及影响相当严重。

  感染WannaCry勒索病毒的计算机,其文件将会被加密锁死,黑客通常通过这种办法向受害者索要赎金,在受害者支付赎金之后再为其提供解密密钥来恢复文件。但由于WannaCry勒索病毒会让黑客无法判断究竟哪些受害者支付了赎金,因此很难向支付赎金的受害者提供解密密钥,所以即便支付了赎金,受到WannaCry勒索病毒攻击的受害者也极有可能永久失去其文件。

  本文将先对WannaCry 勒索病毒进行分析研究,在弄清楚 WannaCry 勒索病毒的传播方式及勒索原理的基础上,提出预防及应对策略。

一、WannaCry勒索病毒原理分析

  WannaCry 勒索病毒可以分为蠕虫部分和勒索病毒部分,蠕虫部分用于传播并释放勒索病毒,勒索病毒部分用于加密用户文件并所要赎金。

1. 蠕虫部分分析

  蠕虫病毒具有自我复制和传播迅速等特点,通常通过网络和电子邮件的形式进行传播,而WannaCry勒索病毒则是利用了“永恒之蓝”(EternalBlue)漏洞进行传播。

  “永恒之蓝”利用 Microsoft 实施服务器消息块(SMB)协议中 的 漏 洞 。 该 漏 洞 允 许 各 版 本 的 Microsoft Windows 中 的SMBv1服务器接受来自远程攻击者的的特制数据包,并可以在目标计算机上执行任意代码。

  虽然在 2017 年 3 月 14 日,微软发布了安全公告并在其中详细介绍了这个漏洞,并宣布补丁已经在当时支持的所有Windows版本上发布,但许多Windows用户由于没有安装补丁而遭到攻击。而WannaCry勒索病毒正是利用了这个漏洞来攻击众多没有安装补丁的用户。

  WannaCry勒索病毒蠕虫部分的传播流程如下所示:

  1) 蠕虫代码在运行后会先连接隐藏开关域名,如果该隐藏开关域名可以成功连接,则直接退出。(但由于隐藏开关通常都很容易被黑客修改,所以,很快就出现了没有隐藏开关的病毒变种,该变种病毒会直接执行第二步);

  2) 如果隐藏开关域名无法访问,则会安装病毒并将其启动;

  3) 将 tasksche.exe(该程序是勒索病毒部分)释放资源到 C盘WINDOWS目录下并将其启动;

  4) 在启动蠕虫病毒后,WannaCry 勒索病毒会利用MS17-010漏洞进行传播。其传播分为局域网传播和公网传播两种传播途径。利用局域网进行传播,病毒会依据用户的内网IP,生成包含整个局域网的网段表,然后依次尝试攻击。利用公网传播,病毒则会生成随机的IP地址,然后尝试发送攻击代码。被WannaCry 勒索病毒感染的计算机除了会被黑客勒索,还会成为病毒的传播节点,继续使用MS17-010漏洞传播病毒,因此,该病毒呈几何型向外扩张,这就是为什么WannaCry勒索病毒在短时间内大规模爆发。

2. 勒索病毒部分详细分析

………………

  WannaCry 勒索病毒预防及应对策略研究 PDF 完整版下载(文字可复制):

https://www.aliyundrive.com/s/abzcjAE2oba 提取码: 5x8h
Copyright © XiakeShu.com 版权所有 | 备案号:浙ICP备11004787号-12