最近安全圈里玩起了杀人游戏:法官NSA无意泄露了警察(微软)的信息(ETERNALBLUE漏洞),警察(微软)跳警(2017年3月14日微软发布比特病毒的安全补丁后),杀手WannaCry得到信息反应更快,借时间差屠杀平民。公开的补丁就这样成了屠杀的邀请函。
5月12日连国家工业信息安全研究中心的通知:
WannaCry也被称为WannaCrypt0r 2.0,此病毒文件的大小3.3MB,WannaCry被认为是使用了NSA泄露的ETERNALBLUE漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服务器协议进行传播,该漏洞并不是0Day漏洞, 补丁程序微软已于2017年3月14日发布,但未打补丁的用户有可能遭受此次攻击。
感染过程:
初始文件 mssecsvc.exe 会释放并执行 tasksche.exe 文件,然后检查 kill switch 域名。之后它会创建 mssecsvc2.0 服务。该服务会使用与初次执行不同的入口点执行 mssecsvc.exe 文件。第二次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个 IP 地址的 TCP 445 端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。
第一步:病毒运行后会生成启动项(注册表里):
第二步:遍历磁盘:
第三步:遍历文件后实施加密:
其他说明:
1):病毒还尝试并创建服务达到自启动:
2):除此之外, 病毒通过动态加载加密API方式阻碍逆向分析取证:
感染WannaCry后,用户的终端与受到大多数的勒索软件侵蚀后一样,会将各类型数据、文档文件加密,被加密的文件后缀名会改成.WNCRY,并索要赎金。
针对于此,工业控制系统如何防范WannaCry的感染呢?首先大家不要恐慌,并不是没有朋友圈宣传的这么可怕,因为网络运营商,基本上针对个人和企业都关闭了445这个端口,而教育部门(各个大学)和一些加油站都是开放445这个端口,所以这也就是为什么这么多大学都会中招的原因。而工业控制系统现阶段隔离状态比较多,极少数直接连接互联网。但并不排除感染计算机摆渡攻击后感染内网,这样就比较危险了。防患于未然也需要做一些处理:
1、建议在工业控制系统网络边界,加装工业防火墙(启用包过滤),直接关闭135/1397/139/445的端口。
2、检查自己的工业计算机有没有开放445这个端口。
3、如果出现上述画面,发现已经开放445端口,请赶紧关闭这个端口,关闭的方法可以敲入如下指令:(因为工业软件软件不能使用防火墙,所以网上很多启用防火墙设置或者IP策略屏蔽445端口根本不能用,一旦启用防火墙或IP策略工业组态软件就失效了或者SOA通讯服务就会有问题,带来的危害更大)
windows 32位关闭445端口批处理(dat)
REG ADD HKLMSYSTEMCurrentControlSetservicesNetBTParameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y
windows 64位关闭445端口批处理(dat)
REG ADD HKLMSYSTEMCurrentControlSetservicesNetBTParameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y
4、紧急升级操作系统的补丁,因为WannaCry利用MS17-010这个SMB的漏洞,所以需要更新补丁。有一些国内的工控安全公司,告诉客户xp和2003停止了更新,让客户购买他们的产品和服务。也不知道这样算不算忽悠客户?
微软还是很厚道的,第一时间开放了下载Windows XP和Windows 2003的补丁
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
5、如果发现有工控机已经被感染,请立即切断内网,在边界防火墙查看谁在扫描135/137/139/445的端口,定位IP后切断IP。感染的计算机请勿重启机器和删除和移动文件,否则感染文件可能无法恢复。下载
免疫工具下载链接:http://b.360.cn/other/onionwormimmune
专杀工具下载链接:http://b.360.cn/other/onionwormkiller
恢复工具下载链接:https://dl.360safe.com/recovery/RansomRecovery.exe
WannaCry勒索软件采用的是 RSA + AES 加密算法,属于几乎无法在有限时间内破解的加密算法,所以恢复工具并不是采用破解密码,而是采用原理绕过的方法。WannaCry感染文件时候采用如下方法:
恢复工具是只针对 Wannacrypt 勒索软件删除的文件利用回收站恢复的方式把加密的文件源文件恢复到所在的目录,可能存在无法保证100%恢复所有文件,因为这涉及到原文件的存储位置、数量、删除时间和磁盘读写情况等因素。
6、请不要相信勒索软件的提供的账号进行汇款,已经有人测试汇款后也无法获得解绑。