WannaCry勒索病毒防護(hù)工具是一款非常給力的實(shí)用簡單工具，有效的防衛(wèi)了最近非常流行的WannaCry勒索病毒，使用這款Wannacry免疫工具不管你電腦里哪個(gè)角落出現(xiàn)了可能危及到電腦的病毒，統(tǒng)統(tǒng)一鍵刪除。

病毒介紹

　　5月12日晚開始，WannaCry勒索病毒席卷全球。目前至少有150個(gè)國家受到網(wǎng)絡(luò)攻擊，受入侵電腦超過20萬，并且影響還在持續(xù)中，用戶依然需要加強(qiáng)防護(hù)措施。WannaCry勒索病毒事件最初在英國曝光，12日晚上10點(diǎn)，英國時(shí)間大約下午3點(diǎn)半，英國全國共16家醫(yī)院同時(shí)遭到網(wǎng)絡(luò)攻擊。 所有被攻擊的電腦都被鎖定桌面?！澳愕碾娔X已經(jīng)被鎖，文件已經(jīng)全部被加密，除非你支付價(jià)值300美元的比特幣，否則你的文件將會(huì)被永久刪除”。

　　很快，在英國地區(qū)遭受這些攻擊的同時(shí)，全球多地發(fā)出告警，一場針對全球的網(wǎng)絡(luò)攻擊，瞬時(shí)展開。我國多個(gè)行業(yè)網(wǎng)絡(luò)同樣受到WannaCry勒索病毒攻擊， 其中教育行業(yè)中的校園網(wǎng)受損尤為嚴(yán)重。目前，全球遭遇攻擊的國家超過150個(gè)，幸免的國家，要么沒有電腦，要么沒有網(wǎng)絡(luò)。

病毒分析

　　通過分析發(fā)現(xiàn)，WannaCry勒索軟件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件， 利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010。雖然微軟已在今年3月份發(fā)布了該漏洞的補(bǔ)丁。但是依然有大量用戶未升級補(bǔ)丁，導(dǎo)致電腦或服務(wù)器中招。

　　今年4月，方程式組織泄露addjob、swift、windows三個(gè)文件夾的數(shù)據(jù)，其中windows目錄下是一些針對Windows系統(tǒng)的一些攻擊工具和漏洞利用程序。 本次“永恒之藍(lán)”攻擊程序就是在此文件夾中的一個(gè)攻擊程序。“永恒之藍(lán)”攻擊程序利用的是Windows SMB遠(yuǎn)程提權(quán)漏洞，可以攻擊開放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限。

病毒流程

　　勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。

　　其中u.wnry*就是后續(xù)彈出的勒索窗口。

　　窗口右上角的語言選擇框，可以針對不同國家的用戶進(jìn)行定制的展示。這些字體的信息也存在與之前資源文件釋放的壓縮包中。

　　通過分析病毒，可以看到，以下后綴名的文件會(huì)被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

　　以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過Windows Crypto API進(jìn)行AES+RSA的組合加密。并且后綴名改為了*.WNCRY

　　此時(shí)如果點(diǎn)擊勒索界面的decrypt，會(huì)彈出解密的框。

　　但必須付錢后，才可以解密

　　115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

　　12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

　　13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

　　作者目前是通過這三個(gè)賬號隨機(jī)選取一個(gè)作為錢包地址，收取非法錢財(cái)。

病毒影響

　　深信服防火墻早在一個(gè)月前就已經(jīng)發(fā)布針對微軟SMB漏洞的攻擊防護(hù)。從公網(wǎng)上攔截的攻擊來看，從5月12號晚上開始， 不到一天的時(shí)間，發(fā)現(xiàn)并攔截針對MS17-010 SMB漏洞的攻擊多達(dá)4590次，其中受災(zāi)最嚴(yán)重的地區(qū)是杭州市，被攻擊次數(shù)多達(dá)1612次。其實(shí)，勒索病毒并不陌生，這幾年也頻繁出現(xiàn)，然而這次勒索病毒卻聯(lián)合微軟SMB漏洞在全球網(wǎng)絡(luò)制造出核彈級的網(wǎng)絡(luò)攻擊風(fēng)波。 究其原因，是大家對漏洞認(rèn)知較少，也不清楚是否需要防護(hù)，該如何去防護(hù)。

　　由于沒有相關(guān)監(jiān)測產(chǎn)品對其業(yè)務(wù)進(jìn)行7*24小時(shí)的安全值守，導(dǎo)致很多用戶對安全漏洞感知不足，使得攻擊者通過漏洞對其業(yè)務(wù)進(jìn)行勒索。