开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 622|回复: 0

[黑客新闻] 国内影响已扩散,利用“NSA武器库”中漏洞的Wannacry蠕虫勒索软件(含修复...

[复制链接]
  • TA的每日心情
    擦汗
    5 天前
  • 签到天数: 25 天

    连续签到: 1 天

    [LV.4]偶尔看看III

    163

    主题

    130

    回帖

    3246

    积分

    UID
    4
    威望
    880 (点)
    主题
    163 (帖)
    精华
    0 (帖)
    贡献
    146  (次)
    墨币
    1047  (枚)
    活跃
    719  (点)
    担保币
    0  (枚)
    注册时间
    2015-6-23
    最后登录
    2024-11-29
    发表于 2017-5-14 18:54:52 | 显示全部楼层 |阅读模式

    5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。   

    一旦电脑感染了Wannacry病毒,受害者要高达300美元比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。     

    研究人员还发现了大规模恶意电子邮件传播,以每小时500封邮件的速度传播杰夫勒索软件,攻击世界各地的计算机。

    大量国内高校中招,其他行业也受到影响

    5月12日晚,国内有不少高校学生反映电脑被恶意的病毒攻击,文档被加密。  

    勒索者源头来自暗网,攻击具备兼容性、多语言支持,多个行业受到影响,国内的ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。据报道,今日全国多地的中石油加油站无法进行网络支付,只能进行现金支付。中石油有关负责人表示,怀疑受到病毒攻击,具体情况还在核查。而截至目前,一些公安系统已经遭到入侵。

    勒索软件利用NSA爆出的漏洞迅速传播

    软件利用美国国家安全黑客武器库泄露的ETERNALBLUE(永恒之蓝)发起病毒攻击。远程利用代码和4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用黑客工具包有关。其中ETERNALBLUE模块是SMB 漏洞利用程序,可以攻击开放了 445 端口windows 机器,实现远程命令执行。 蠕虫软件正是利用 SMB服务器漏洞,通过2008 R2渗透到未打补丁的Windows XP版本计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。

    事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。

    全球受攻击情况

    仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招。且攻击仍在蔓延。

    据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织, 11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。

    西班牙计算机应急组织还针对WannaCry发布了警告:”WannaCry勒索软件侵入计算机,将文件加密并通过SMB执行远程命令。现在已经侵入了其他Windows系统的机器。”

    目前还不清楚WannaCry的幕后黑手到底是谁。但大部分攻击来自钓鱼邮件,或是受害者访问的含有恶意软件的网站。早在今年二月,WannaCry的前身WeCry就已发起过攻击,向用户勒索比特币。   


    解决方案

    该攻击涉及MS17-010漏洞,我们可以采用以下方案进行解决

    漏洞名称:

    Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)

    包含如下CVE:

    CVE-2017-0143 严重 远程命令执行
    CVE-2017-0144 严重 远程命令执行
    CVE-2017-0145 严重 远程命令执行
    CVE-2017-0146 严重 远程命令执行
    CVE-2017-0147 重要 信息泄露
    CVE-2017-0148 严重 远程命令执行
    漏洞描述:

    SMBv1 server是其中的一个服务器协议组件。

    Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。

    远程攻击者可借助特制的数据包利用该漏洞执行任意代码。

    以下版本受到影响:

    Microsoft Windows Vista SP2
    Windows Server 2008 SP2和R2 SP1
    Windows 7 SP1
    Windows 8.1
    Windows Server 2012 Gold和R2
    Windows RT 8.1
    Windows 10 Gold
    1511和1607
    Windows Server 2016

    解决方法:

    1.防火墙屏蔽445端口

    2.利用 Windows Update 进行系统更新

    3.关闭 SMBv1 服务

    3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

    对于客户端操作系统:

    打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

    在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

    重启系统。

    3.2 对于服务器操作系统:

    打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。

    在“功能”窗口中,清除“SMB 1.0/CIFS

    文件共享支持”复选框,然后单击“确定”以关闭此窗口。

    重启系统。

    3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表

    注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

    新建项︰ SMB1,值0(DWORD)

    重新启动计算机

    关于影响的操作系统范围和对应的补丁号码详情请见:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

    勒索病毒中招尝试解决方案方法一:  
    1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
    2:把copy粘贴到btc.com (区块链查询器)
    3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
    4:把txid 复制粘贴给 勒索软件界面按钮connect us.
    5:等黑客看到后 你再点击勒索软件上的check payment.  
    6:再点击decrypt 解密文件即可。  
    方法二:

    下载开源的脚本(需要python3环境)来运行尝试恢复。

    下载链接:https://github.com/QuantumLiu/antiBTCHack




    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?立即注册

    x
    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条