【51CTO.com原創(chuàng)稿件】針對(duì)WannaCrypt勒索病毒的討論和技術(shù)文章是鋪天蓋地，大量的技術(shù)流派，安全廠家等紛紛獻(xiàn)計(jì)獻(xiàn)策，有安全廠家開發(fā)各種安全工具，對(duì)安全生態(tài)來說是一個(gè)好事，但對(duì)個(gè)人未必就是好事，我們國(guó)家很多用戶是普通用戶是安全小白，如果遭遇WannaCrypt勒索軟件，我們?cè)撛趺崔k?是主動(dòng)積極應(yīng)對(duì)，還是被動(dòng)等待被病毒感染，這完全取決于您個(gè)人選擇，筆者戰(zhàn)斗在病毒對(duì)抗的第一線，將一些經(jīng)驗(yàn)跟大家分享，希望能對(duì)您有所幫助!本文收集了windowsxp-windows2012所有的補(bǔ)丁程序以及360等安全公司的安全工具程序供大家下載，下載地址：http://pan.baidu.com/s/1boBiHNx

一.病毒危害

1.1病毒感染的條件

到互聯(lián)網(wǎng)上乃至技術(shù)專家都認(rèn)為WannaCrypt攻擊源頭來自于MS17-010漏洞，在現(xiàn)實(shí)中很多被感染網(wǎng)絡(luò)是內(nèi)網(wǎng)，mssecsvc.exe病毒文件大小只有3M多，其后續(xù)加密生成有多個(gè)文件，這些文件是從哪里來，內(nèi)網(wǎng)是跟外網(wǎng)隔離的!筆者整理認(rèn)為病毒感染是有條件的：

1.Windows7以上操作系統(tǒng)感染幾率較高

2.在感染的網(wǎng)絡(luò)上，如果系統(tǒng)開放了445端口，將被快速感染計(jì)算機(jī)。

3.內(nèi)網(wǎng)補(bǔ)丁更新不及時(shí)

1.2病毒感染的后果

WannaCrypt勒索病毒被定義為蠕蟲病毒，其傳播速度非?？?，一旦被感染，只有兩種途徑來解決，一種是支付贖金，另外一種就是重裝系統(tǒng)，所有資料全部歸零。通過筆者分析，如果是在病毒W(wǎng)annaCrypt發(fā)作前，能夠成功清除病毒，將可以救回系統(tǒng)，減少損失!360也提供了一款勒索蠕蟲病毒文件恢復(fù)工具RansomRecovery ，其下載地址：http://dl.360safe.com/recovery/RansomRecovery.exe 主要針對(duì)勒索病毒成功感染后的恢復(fù)，越早恢復(fù)，文件被恢復(fù)的幾率越高

二、 WannaCrypt勒索病毒原理分析

WannaCrypt勒索病毒原理分析筆者再次就不贅述了，詳細(xì)情況請(qǐng)參閱WanaCrypt0r勒索蠕蟲完全分析報(bào)告(http://bobao.#/learning/detail/3853.html)。

筆者要想說的是病毒感染的三個(gè)時(shí)間段：

1.病毒感染初階段，病毒從未知渠道進(jìn)入網(wǎng)絡(luò)，病毒開始攻擊內(nèi)網(wǎng)某臺(tái)主機(jī)，對(duì)計(jì)算機(jī)存在漏洞計(jì)算機(jī)進(jìn)行攻擊，成功后釋放mssecsvc.exe文件，并連接固定url(54.153.0.145): http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;

a)如果連接成功,則退出程序

b)連接失敗則繼續(xù)攻擊

2.病毒感染中階段

接下來蠕蟲開始判斷參數(shù)個(gè)數(shù),小于2時(shí),進(jìn)入安裝流程;大于等于2時(shí),進(jìn)入服務(wù)流程

3.病毒感染后階段，對(duì)磁盤文件進(jìn)行加密處理，出現(xiàn)勒索軟件界面。

三、勒索病毒處理的黃金時(shí)間

筆者在實(shí)際病毒對(duì)抗過程中發(fā)現(xiàn)，加固是針對(duì)未感染的計(jì)算機(jī)有用，感染后的計(jì)算機(jī)加固也是無(wú)用的!!!!

在前面病毒運(yùn)行階段有兩個(gè)小時(shí)的黃金時(shí)間，我想明天大家上班了，如果個(gè)人人走關(guān)機(jī)，則意味做網(wǎng)絡(luò)是關(guān)閉的，計(jì)算機(jī)是安全的，這時(shí)候第一時(shí)間是拔掉網(wǎng)線，然后再開啟計(jì)算機(jī)!!如果網(wǎng)絡(luò)中已經(jīng)存在病毒了，那么應(yīng)該以最快的速度來結(jié)束病毒，可以參考文章后面的結(jié)束病毒進(jìn)程，然后是備份文件，最后加固!如果有條件可以利用linux啟動(dòng)盤啟動(dòng)系統(tǒng)，先備份文件，然后再做其他事情!整理了一下具體流程：

1.開機(jī)前拔掉網(wǎng)線，不使用網(wǎng)絡(luò)。

2.若熟悉linux，可以刻盤啟動(dòng)計(jì)算機(jī)，使用U盤對(duì)文件進(jìn)行備份。

3.使用本文提及的方法清理病毒。

4.使用安全優(yōu)盤進(jìn)行系統(tǒng)文件備份，如果沒有優(yōu)盤，則可以將需要備份的文件先行壓縮為rar文件，然后再修改為.exe文件。

四、安全處理建議

1.病毒感染前處理

(1)采用后續(xù)部分135、139、445等端口加固方法加固。

(2)也可使用360的NSA武器免疫工具檢測(cè)計(jì)算機(jī)是否存在漏洞，如圖1所示，在windows2003SP1虛擬機(jī)中進(jìn)行檢測(cè)顯示無(wú)漏洞。

圖1使用360的nsa武器庫(kù)免疫工具

(3)使用安天免疫工具進(jìn)行檢測(cè)和設(shè)置，如圖2所示，按照運(yùn)行結(jié)果進(jìn)行設(shè)置即可。

圖2使用安天免疫工具進(jìn)行設(shè)置

(4)根據(jù)系統(tǒng)實(shí)際情況安裝補(bǔ)丁，我已經(jīng)收集目前可用的安全工具以及相對(duì)應(yīng)當(dāng)漏洞補(bǔ)丁程序。

2.病毒正在感染，通過netstat -an命令查看，如果系統(tǒng)出現(xiàn)大量的445連接，說明肯定存在病毒，可以使用以下辦法進(jìn)行殺毒，同時(shí)拔掉網(wǎng)線!(另外一種方法就是通過kali等linux啟動(dòng)盤去清除病毒也可以，然后通過U盤直接備份資料)

(1)設(shè)置查看文件選項(xiàng)

由于病毒設(shè)置了隱藏屬性，正常情況下無(wú)法查看該文件，需要對(duì)文件查看進(jìn)行設(shè)置，即在資源管理器中單擊“工具”-“文件夾選項(xiàng)”，如圖3所示。

圖3 打開文件夾選項(xiàng)設(shè)置

去掉“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”、選擇“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”、去掉“隱藏已知文件類型的擴(kuò)展名”，如圖4所示，即可查看在windows目錄下的病毒隱藏文件。

圖4文件夾查看選項(xiàng)設(shè)置

(2)結(jié)束進(jìn)程

通過任務(wù)管理器，在任務(wù)欄上右鍵單擊選擇“啟動(dòng)任務(wù)管理器”，如圖5所示，從進(jìn)程中去查找mssecsvc.exe和tasksche.exe文件，選中mssecsvc.exe和tasksche.exe，右鍵單擊選擇“結(jié)束進(jìn)程樹”將病毒程序結(jié)束，又可能會(huì)反復(fù)啟動(dòng)，結(jié)束動(dòng)作要快。以上三個(gè)文件一般位于c:\windows目錄。

圖5結(jié)束進(jìn)程

(3)刪除程序

到windows目錄將三個(gè)文件按照時(shí)間排序，一般會(huì)顯示今天或者比較新的時(shí)期，將其刪除，如果進(jìn)程結(jié)束后，又啟動(dòng)可來回刪除和結(jié)束。直到將這三個(gè)文件刪除為止，有可能到寫本文章的時(shí)候，已經(jīng)有病毒變體，但方法相同，刪除新生成的文件。

(4)再次查看網(wǎng)絡(luò)

使用netstat –an命令再次查看網(wǎng)絡(luò)連接情況，無(wú)對(duì)外連接情況，一切恢復(fù)正常。

可以使用安全計(jì)算機(jī)下載安全工具Autoruns以及ProcessExplorer，通過光盤刻錄軟件，到感染病毒計(jì)算機(jī)中進(jìn)行清除病毒!軟件下載地址：

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

注意，本文所指清除病毒是指勒索軟件還未對(duì)系統(tǒng)軟件進(jìn)行加密!如果在桌面出現(xiàn)黃色小圖標(biāo)，桌面背景有紅色英文字體顯示(桌面有窗口彈出帶鎖圖片，Wana Decryptor2.0)，這表明系統(tǒng)已經(jīng)被感染了。

3.病毒已經(jīng)感染

如果系統(tǒng)已經(jīng)被病毒感染，則下載RansomRecovery (http://dl.360safe.com/recovery/RansomRecovery.exe )進(jìn)行恢復(fù)。

五、病毒原始文件分析

1.文件名稱及大小

本次捕獲到病毒樣本文件三個(gè)，mssecsvc.exe、qeriuwjhrf、tasksche.exe，如圖6所示，根據(jù)其md5校驗(yàn)值，tasksche.exe和qeriuwjhrf文件大小為3432KB，mssecsvc.exe大小為3636KB。

2.md5校驗(yàn)值

使用md5計(jì)算工具對(duì)以上三個(gè)文件進(jìn)行md5值計(jì)算，其md5校驗(yàn)值分別如下：

tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe 854455f59776dc27d4934d8979fa7e86

qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

圖6 勒索軟件病毒基本情況

3.查看病毒文件

(1)系統(tǒng)目錄查看

文件一般位于系統(tǒng)盤下的windows目錄，例如c:\windows\，通過命令提示符進(jìn)入:

cd c:\windows\

dir /od /a *.exe

(2)全盤查找

dir /od /s /a tasksche.exe

dir /od /s /a mssecsvc.exe

4.病毒現(xiàn)象

(1)通過netstat –an命令查看網(wǎng)絡(luò)連接，會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)不停的對(duì)外發(fā)送SYN_SENT包，如圖7所示。

圖7對(duì)外不斷的發(fā)送445連接包

(2)病毒服務(wù)

通過Autoruns安全分析工具，可以看到在服務(wù)中存在“fmssecsvc2.0”服務(wù)名稱，該文件的時(shí)間戳為2010年11月20日17:03分，如圖8所示。

圖8病毒啟動(dòng)的服務(wù)

六、安全加固

1.關(guān)閉445端口

(1)手工關(guān)閉

在命令提示符下輸入“regedit”，依次打開“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”，在其中選擇“新建”——“DWORD值”，將DWORD值命名為“SMBDeviceEnabled”，并通過修改其值設(shè)置為“0”，如圖9所示，需要特別注意一定不要將SMBDeviceEnabled寫錯(cuò)了!否則沒有效果!

圖9注冊(cè)表關(guān)閉445端口

查看本地連接屬性，將去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾選，如圖10所示。

圖10取消網(wǎng)絡(luò)文件以及打印機(jī)共享

(2)使用錦佰安提供的腳本進(jìn)行關(guān)閉，在線下載腳本地址：http://www.secboot.com/445.zip，腳本代碼如下：

echo "歡迎使用錦佰安敲詐者防御腳本"

echo "如果pc版本大于xp 服務(wù)器版本大于windows2003，請(qǐng)右鍵本文件，以管理員權(quán)限運(yùn)行。"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

2.關(guān)閉135端口

在運(yùn)行中輸入“dcomcnfg”，然后打開“組建服務(wù)”-“計(jì)算機(jī)”-“屬性”-“我的電腦屬性”-“默認(rèn)屬性”-“在此計(jì)算機(jī)上啟用分布式COM”去掉選擇的勾。然后再單擊“默認(rèn)協(xié)議”選項(xiàng)卡，選中“面向連接的TCP/IP”，單擊“刪除”或者“移除”按鈕，如圖11所示。

圖11關(guān)閉135端口

3.關(guān)閉139端口

139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。 單擊“網(wǎng)絡(luò)”-“本地屬性”，在出現(xiàn)的“本地連接屬性”對(duì)話框中，選擇“Internet協(xié)議版本4(TCP/IPv4)”-“屬性”，雙擊打開“高級(jí)TCP/IP設(shè)置”-“WINS”，在“NetBIOS設(shè)置”中選擇“禁用TCP/IP上的NetBIOS”，如圖12所示。

圖12關(guān)閉139端口

4.查看端口是否開放

以后以下命令查看135、139、445已經(jīng)關(guān)閉。

netstat -an | find "445"

netstat -an | find "139"

netstat -an | find "135"

5.開啟防火墻

啟用系統(tǒng)自帶的防火墻。

6.更新系統(tǒng)補(bǔ)丁

通過360安全衛(wèi)士更新系統(tǒng)補(bǔ)丁，或者使用系統(tǒng)自帶的系統(tǒng)更新程序更新系統(tǒng)補(bǔ)丁。

七、安全啟示

這波勒索病毒使用的是今年3月爆發(fā)的NSA暴露的那些漏洞利用工具，當(dāng)時(shí)出來以后，如果及時(shí)對(duì)系統(tǒng)更新了漏洞補(bǔ)丁和加固后，系統(tǒng)基本不會(huì)被感染。

1.來歷不明的文件一定不要打開

2.謹(jǐn)慎使用優(yōu)盤，在優(yōu)盤中可以建立antorun.inf文件夾防止優(yōu)盤病毒自動(dòng)傳播

3.安裝殺毒軟件，目前升級(jí)過病毒庫(kù)的殺毒軟件都可以識(shí)別傳播的病毒。

4.打開防火墻

5.ATScanner(WannaCry)

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕蟲勒索軟件免疫工具(WannaCry)http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

八、關(guān)于最新勒索病毒的防范情況方法

懂linux的請(qǐng)：

1.拔掉網(wǎng)線。

2.懂linux的朋友，以用kali linux 、bt5、cdlinux等啟動(dòng)系統(tǒng)。

3.先備份系統(tǒng)重要文件。

4.清理病毒

5.重新開機(jī)啟動(dòng)到windows系統(tǒng)

6.進(jìn)行加固

如果不懂linux：

1.拔掉網(wǎng)線

2.在開機(jī)前就用沒有感染的計(jì)算機(jī)下載好帶最新病毒庫(kù)的殺毒軟件。

3.開機(jī)后立即安裝殺毒軟件進(jìn)行殺毒。

4.使用netstat -an 查看有無(wú)445 連接多個(gè)地址發(fā)包

5.記得設(shè)置文件夾選項(xiàng)，后清理windows下的病毒文件，病毒文件是隱藏屬性

6.備份重要資料

7.加固服務(wù)器

8.安裝補(bǔ)丁

9.接入網(wǎng)絡(luò)

有關(guān)WannaCrypt勒索病毒軟件的進(jìn)一步分析，請(qǐng)關(guān)注我們的技術(shù)分析，歡迎加入安天365技術(shù)交流群(513833068)進(jìn)行該技術(shù)的探討。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】