勒索软件正在引起近年来的重大破坏。
最近,泄露的NSA 永恒之蓝漏洞转储被网络犯罪分子用来在全球范围内传播WannaCry勒索软件。 MS-17-010 Windows OS漏洞转储由臭名昭著的Shadow Broker组于2017年4月14日发布。此漏洞影响Microsoft Windows和Microsoft于2017年3月发布的大多数台式机和服务器版本。但是,尚未应用此修补程序的系统会受到WannaCry勒索软件的影响,该勒索软件使用蠕虫样行为来影响网络上易受攻击的系统。
WannaCry在全球范围内造成破坏
该勒索软件已经影响了西班牙,英国,中国和其他国家(包括印度)的知名组织。这些组织包括英国的诊所和医院,电信,天然气,电力和其他公用事业提供商。中国的许多大学也成为目标。
在快速修复安全实验室中,到目前为止,已检测到3000多种WannaCry勒索软件攻击,其中约2450起来自印度。 Quick Heal和Seqrite已经成功地防御了这些攻击,使其免受了破坏和数据加密。
WannaCry 勒索软件如何工作?
使用SMB服务将系统连接到网络时会发动攻击。这些服务受到攻击和利用“EternalBlue”开发成功后,植入WannaCry 勒索软件导致文件加密。加密文件后,它会追加“.WNCRY”所有加密文件的扩展名。
图1:WannaCry 勒索软件加密文件
成功利用后,它将以下文件添加到系统:
- C:\ ProgramData \<random_alphanumeric>\@[email protected]
- C:\ ProgramData \<random_alphanumeric>\tasksche.exe
- C:\ ProgramData \<random_alphanumeric>\taskdl.exe
- C:\ ProgramData \<random_alphanumeric>\taskse.exe
WannaCry在下面添加了恶意注册表项,以使系统具有持久性,以便它可以在每个系统重新启动后启动感染:
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
- “xwjfzbtm432″=”\”C:\\ProgramData\\<random_alphanumeric>\\ tasksche.exe \“”
成功加密后,它会在下面显示警告消息,其中包含有关恢复文件的说明。显示倒数计时器会引起恐慌,从而使受害者支付所要求的赎金。否则可能会删除所有加密数据。 WannaCry以当前区域的语言显示勒索软件警告消息。
图2:WannaCry 勒索软件警告消息
序列 Endpoint 安全如何防御WannaCry 勒索软件?
序列病毒防护 成功检测并清除了负责文件加密的恶意文件“ TrojanRansom.Wanna”
图3:Seqrite病毒保护警告消息
序列高级行为检测系统 根据其行为,主动主动检测到该勒索软件活动。在这种情况下,用户需要单击“阻止”按钮以停止加密活动。
图4:基于Seqrite高级行为的检测提示
序列反勒索软件 技术还成功检测到WannaCry 勒索软件的文件加密活动:
图像5:Seqrite反勒索软件可检测到加密活动
减少勒索软件攻击的建议:
快速修复安全实验室强烈建议采取以下措施来减少WannaCry 勒索软件感染的风险:
- 为该勒索软件使用的漏洞应用补丁 来自微软
- 定期备份重要数据,并定期检查备份还原过程,以确保文件已正确还原。
- 确保在网络的所有节点上切换安全解决方案。
- 始终使用最新的签名更新使安装的安全软件保持最新。
- 使用已安装的安全软件执行完整系统扫描。
- 避免单击链接并打开来自未知和可疑来源的电子邮件中的附件。
致谢:
主题专家–
Prashil Moon和Dipali Zure
快速修复安全实验室
没意见