这款勒索病毒主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:
WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。(#注释:说明一下,“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称#)
根据360威胁情报中心的数据,在短短一天多的时间,勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织,其中包括1600家美国组织,11200家俄罗斯组织。
国内被感染的组织和机构接近3万家,已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。
针对“永恒之蓝”攻击紧急处置手册
(蠕虫WannaCry)
2017年5月13日
第一章 隔离网主机应急处置操作指南
首先确认主机是否感染
被感染的机器屏幕会显示如下的告知付赎金的界面:
如果主机已被感染:
则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢复程序。
如果主机未被感染:
存在3种方式进行防护,均可以避免主机被感染。针对未感染主机,方式三是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。从响应效率和质量上, 建议首先采用方式一进行抑制,再采用方式三进行根除。方法如下所示:
步骤一:启用蠕虫快速免疫工具
打开“蠕虫快速免疫工具”文件夹,双击运行 OnionWormImmune.exe 工具
软件运行完毕后,打开任务管理器,检查进程中是否存在“OnionWormImmune.exe”,存在即是成功运行。
方式二:禁用server服务(可选择不用)
注意:使用这个后,电脑就无法使用打印机,打印服务器不要使用!
2.1方法1(自动版)
1)、打开“漏洞端口关闭”文件夹,如下图;
2)、双击“执行我”;
3)、在打开的界面中,在“你想继续此操作吗?”中,敲入键盘Y字即可
2.1方法2(手动版)
1)、在开始菜单的运行输入框输入services.msc,回车,如下图;
2)、弹出下图,找到Server,并右键选择“停止”服务
3)、接着右键“server”,选择“属性”,在弹出界面中,选择“禁用”,并点击确定
步骤三:针对主机进行补丁升级
打开“勒索补丁”文件夹,根据主机的系统版本针对性的选择系统补丁(请注意区分32位和64位系统),双击执行即可。
打完补丁,然后重启即可