2017-06-20 16:15:40

五月十二日晚上20:00全球爆發大規模勒索軟件感染事件,目前已經涉及150個國家20萬個受害者,包括能源、電力、教育、醫療、交通等重點領域都在快速蔓延,西班牙電力公司Iberdrola、天然氣公司Gas natural以及電信巨頭Telefonica無一幸免;德國德勒斯頓火車站、葡萄牙電信、聯邦快遞FedEx包括俄羅斯內政部和第二大電信巨頭Magefon等都遭到了勒索軟件的攻擊;國內中石油北京、上海、四川、重慶等地的加油站全麵斷網,幾大高校也遭受了不同程度的攻擊,截止5月14日中國已有29372家機構組織的數十萬台機器感染。





今天早上朋友圈各種文章都在討論防病毒方法,各種企業、政府預防公告,還有各種step by step防禦辦法,更甚者聽說某些單位全部斷開外網。今天早上也有很多朋友打電話谘詢如何防範,如果中毒如何處理等; 






今早的一篇來自劍指工控的文章《安全圈的殺人遊戲》把本次事件的緣由把它比喻成了當下流行的殺人遊戲:





法官:NSA  警察:MicroSoft  殺手:WannaCry




??


?


法官NSA無意泄露了警察(MicroSoft)的信息(ETERNALBLUE漏洞),警察(MicroSoft)跳警(2017年3月14日微軟發布比特病毒的安全補丁後),殺手WannaCry得到信息反應更快,借時間差屠殺平民。公開的補丁就這樣成了屠殺的邀請函。




5月12日國家工業信息安全研究中心發布緊急通知要求各地工信主管部門盡快做好組織應對和風險通報。




工業領域的工控機(工程師站、操作員站、曆史服務器,SCADA服務器)等大量使用Windows係統,而且2008年以前的90%工控係統均采用Windows 2000 SP4和Windows XP,這兩個係統默認開放445端口,極有可能被“WannaCry”利用漏洞進行入侵攻擊,並迅速蔓延到整個工業控製網絡,嚴重導致組態軟件加密狗失效,甚至造成工業企業內網癱瘓。而且一旦中招,工業企業相關敏感數據存在被鎖定、篡改和銷毀的風險。如果您的配方、數據庫、視頻、製圖等關鍵數據不被截取,請認證閱讀本文。當然了有的企業說我們正常辦公必須開放445端口,那怎麼辦?本文後續段落會有不禁用445端口如何防範類似WannaCry的攻擊。




先來看看這個所謂的勒索軟件到底是個什麼妖孽?











WannaCry也被稱為WannaCrypt0r 2.0, WannaCry使用了NSA泄露的ETERNALBLUE(永恒之藍)漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服務器協議進行傳播,該漏洞並不是0Day漏洞, 補丁程序微軟已於2017年3月14日發布,但未打補丁的用戶有可能遭受此次攻擊。





你是否也已經中招了?




感染過程:

第一步:病毒運行後會生成啟動項(注冊表裏):








第二步:遍曆磁盤:


/ProgramData


/Intel

/WINDOWS

/Program Files

/Program Files (x86)

/AppData/Local/Temp

/Local Settings/Temp




第三步:遍曆文件後實施加密:


遍曆磁盤文件,加密以下178種擴展名文件。







感染WannaCry後,用戶的終端與受到大多數的勒索軟件侵蝕後一樣,會將各類型數據、文檔文件加密,被加密的文件後綴名會改成.WNCRY,並索要贖金。




??

?


工業控製係統又如何防範WannaCry的感染呢?




首先大家不要恐慌,沒有朋友圈宣傳的這麼可怕,類似通過445共享端口進行攻擊的案列很多,因此網絡運營商基本上針對個人和企業都關閉了445這個端口。




而教育部門(各個大學)以及一些科研院所以及加油站支付係統為了共享方便,都是開放445這個端口,所以這也就是為什麼這麼多大學和加油站都會中招的原因。

第1頁  第2頁  

http://www.autooo.net/papers/paper/2017-06-20/172314.html