全球预警 赛门铁克针对WannaCry病毒
　作者: 厂商投稿　编辑:
　　　　【IT168&资讯】日，全球爆发一种新型比特币勒索病毒家族的攻击，该勒索软件名为Ransom.CryptXXX ( WannaCry)。该勒索软件由爆发至今已在全球广泛传播，并影响大量企业用户，其中，欧洲用户为重灾区。　　WannaCry勒索软件的特点：　　感染后，WannaCry勒索软件将会加密受害者的数据文件，并要求用户支付约$300比特币的赎金。攻击者表明，如果延迟支付，赎金将会在三天后增加一倍;如果延迟付款一个星期，加密文件将被删除。▲勒索信息截图(中文)&▲勒索信息截图(英文)　　不仅如此，攻击者还留下一个文件，文件名为“Plesae Read Me!.txt”(请首先阅读)：　　文中提到，受害者的重要文件已被加密。受害者必须遵守攻击者的指示来解锁文件 —— 根据指示支付$300赎金至特定地点。　　值得注意的是，WannaCry勒索文件具有以下扩展名，并将.WCRY添加到文件名的结尾：　　? .lay6　　? .sqlite3　　? .sqlitedb　　? .accdb　　? .java　　? .class　　? .mpeg　　? .djvu　　? .tiff　　? .backup　　? .vmdk　　? .sldm　　? .sldx　　? .potm　　? .potx　　? .ppam　　? .ppsx　　? .ppsm　　? .pptm　　? .xltm　　? .xltx　　? .xlsb　　? .xlsm　　? .dotx　　? .dotm　　? .docm　　? .docb　　? .jpeg　　? .onetoc2　　? .vsdx　　? .pptx　　? .xlsx　　? .docx　　该勒索软件利用微软已知SMBv2中的远程代码执行漏洞：MS17-010 来进行传播。　　通过整合技术，使用赛门铁克和诺顿产品的用户可有效抵御WannaCry的攻击。　　病毒：　　? Ransom.CryptXXX　　? Trojan.Gen.8!Cloud　　? Trojan.Gen.2　　? Ransom.Wannacry　　入侵防御系统：　　? 21179(OS攻击：Microsoft Windows SMB远程执行代码3)　　? 23737(攻击：下载的Shellcode活动)　　? 30018(OS攻击：MSRPC远程管理接口绑定)　　? 23624(OS攻击：Microsoft Windows SMB远程执行代码2)　　? 23862(OS攻击：Microsoft Windows SMB远程执行代码)　　? 30010(OS攻击：Microsoft Windows SMB RCE CVE-)　　? 22534(系统感染：恶意下载活动9)　　? 23875(OS攻击：微软SMB MS17-010披露尝试)　　? 29064(系统感染：Ransom.Ransom32活动)　　赛门铁克强烈建议，企业用户应确保安装最新微软安全更新程序，尤其是MS17-010，以防止该攻击的扩散。　　受到影响最大的受害者?　　全球许多组织受到该攻击的影响，其中大多数在欧洲。　　这是否是针对性的攻击?　　不，在现阶段，并不能确认为针对性攻击。　　为什么企业用户面临如此之多的问题?　　通过利用微软已知的安全漏洞，WannaCry在企业网络内采取自传播功能，并且无需用户交互。如果用户没有进行最新的微软安全更新，其计算机或面临感染风险。　　加密文件是否可以恢复?　　目前，解密加密的文件还无法实现，但赛门铁克正在进行调查。针对此次事件，赛门铁克不建议支付赎金。　　抵御勒索软件的最佳实践：　　? 勒索软件变种会不定期出现，赛门铁克建议用户，始终保持安全软件为最新版本，从而抵御网络攻击。　　? 保持和为更新版本。软件更新经常包括可能被攻击者所利用的新型安全漏洞补丁。这些漏洞可能被攻击者所利用。　　? 赛门铁克发现，电子邮件是当今主要传染方式之一。用户应警惕未知电子邮件，尤其是包含链接和/或附件的电子邮件。　　? 用户需要特别谨慎对待那些建议启用宏以查看附件的Microsoft Office子邮件。除非对来源有绝对的把握，否则请立即删除来源不明的电子邮件，并且务必不要启动宏功能。　　? 备份数据是打击勒索攻击的最有效方法。攻击者通过加密受害者的宝贵文件并使其无法访问，从而向受害者施加压力。如果受害者拥有备份，当感染被清理后，即可恢复文件。对于企业用户而言，备份应当被适当保护，或者存储在离线状态，使攻击者无法删除。　　? 通过使用云服务，帮助减轻勒索病毒感染导致的威胁。这是由于云服务或保留文件的以前版本，并且允许用户通过“回滚”到未加密的文件。　　赛门铁克的保护：　　针对 Symantec Endpoint Protection 用户：　　? 对于安装SEP基本防病毒模块的用户，请加装ips和应用程序模块。该模块不会加重系统负载，且能够有效防御新型威胁。　　? HIPS可以有效屏蔽网络恶意攻击，例如，利用tcp 445 ms漏洞的入侵。　　? 通过SEP应用程序控制模块的黑白名单功能，无需依赖病毒库，可直接把可疑程序加入黑名单，并禁止运行。　　? 通过SEP自带功能，直接禁止445端口的入站请求，防止扩散。　　? 更新定义库至 AV: 5/12/2017 rev. 9，IPS: 5/12/2017 rev.11。
IT168企业级当前位置： &
> WannaCry比特币勒索病毒不开机会中么
WannaCry比特币勒索病毒不开机会中么
WannaCry比特币勒索病毒不开机会中么
勒索病毒正在全球蔓延，为了你的电脑健康，请下载我们的勒索病毒xp补丁，这个补丁适用32位Windows XP SP3全部版本（包括家庭版、专业版、嵌入式版本），这种勒索病毒名为WannaCry，如果您还没 ... 大小：667K　　更新： 09:56:19　　类型：　　免费版　　简体中文
文件被“勒索病毒”加密后会出现一个以 wncry为后缀的文件，wncry勒索病毒文件恢复2017就是用来修复这些 wncry勒索病毒文件的修复工具！勒索病毒 wncry文件修复工具的使用方法非常的简单，你只 ... 大小：3.78MB　　更新： 09:18:26　　类型：　　免费版　　简体中文
人气:16375
紧急预警，全球爆发电脑勒索病毒攻击，360勒索病毒专杀工具是第一款可以消灭此病毒的勒索病毒杀毒软件，也是勒索病毒文件恢复2017年最新版，跟微软补丁MS17-010一样是你的电脑好帮手，面对 ... 大小：3.65MB　　更新： 01:41:49　　类型：　　免费版　　简体中文
最近WannaCry病毒蔓延的非常迅速，很多人都已经中招了。那么WannaCry比特币勒索病毒不开机会中么？来看看专家的说法吧，WannaCry比特币勒索病毒的破坏性是前无古人的，但是有没有后者那就不知道了！其实预防WannaCry比特币勒索病毒还是很简单的，下面有教程！WannaCry比特币勒索病毒不开机会中么不开机是不会中招的。但是如果你的局域网中有电脑中毒就千万别开机，如果现在没有中毒，可以看看下面的预防WannaCry比特币勒索病毒教程！如何预防WannaCry比特币勒索病毒：win7以及以上系统：/smzy/tech28785.htmlXP系统：/smzy/tech28786.html软件特别说明：中还有很多补丁哦！
电脑勒索病毒/比特币病毒专杀工具
全球爆发电脑勒索病毒,99个国家包括中国高校,电脑勒索病毒/比特币病毒专杀工具强烈被需要,微软补丁MS17-010下载及WannaCry病毒抵御方法小编正在逐步收集中,旨在帮用户抵...
[新闻资讯]
[安卓手游]
[安卓手游]比特币勒索病毒
《 WannaCry 永恒之蓝计算机病毒》
日，WannaCry勒索病毒事件造成99个国家遭受了攻击，其中包括英国、美国、中国、俄罗斯、西班牙和意大利。WannaCry，一种电脑软件勒索病毒。该恶意软件会扫描电脑上的TCP
445端口(Server Message
Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。日，WannaCry
勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch
传播速度或更快。截止日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。
截止日，已波及100多个国家和地区10万台电脑被感染，已经有100多个国家遭受了攻击，其中包括英国、美国、中国、俄罗斯、西班牙和意大利。迅速向全球扩散的勒索病毒网络攻击受害者还会继续增加，因为黑客可以轻松进入那些几个月没有更新微软。公司Windows操作系统的电脑中，俄罗斯和乌克兰受到密集攻击。俄罗斯内政部也称，大约1000台电脑被感染，称不到重量的1%。技术人员已经成功阻止袭击，并更新了该部门的“杀毒防御系统”
微软声称如果用户采用全新版本的Windows 10系统，并开启Windows
Defender的话，他们将会免疫这些勒索病毒。也就是说Windows
10用户大可放心，将不会受到这个勒索病毒的传播。另一方面，失去安全更新支持的Windows XP和Windows
Vista操作系统非常容易遭受此类病毒的感染，微软建议用户尽早更新至全新操作系统应对。确保运行Windows操作系统的设备均安装了全部补丁，并在部署时遵循了最佳实践。此外，组织还应确保关闭所有外部可访问的主机上的SMB端口(445,135,137,138,139端口，关闭网络共享)
(WannaCry攻击的目标文件)
常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）
并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）
压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）
电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）
数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）
开发者使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）
密匙和证书（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）
美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）
虚拟机文件（.vmx、.vmdk、.vdi）
&传播过程&
WannaCry勒索事件病毒结合了蠕虫的方式进行传播，传播方式采用了NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的报道称此次攻击为“永恒之蓝”。WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块，它还会扫描可访问的服务器，检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序，它会利用现有的后门程序功能，并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR，该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。
勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏
据报道，一名22岁的安全研究员在运行恶意软件技术的博客时解剖了代码，并意外发现阻止勒索软件传播。
他通过继续注册一个未注册的领域，证明其是一个漏洞。域名注册和随后的成功连接到域之间触发了比特币勒索软件代码中的隐藏条件，阻止其传播，成功防止勒索软件进一步传播。
虽然WannaCry比特币勒索软件已经被成功阻止，但它的出现使人们发现网络中公共部门IT基础设施的不负责任和几乎无保护的性质的巨大问题。
NHS和许多其他对国家运作至关重要的网络中一直运行的系统都是实物过时软件，使其易受恶意勒索软件攻击
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。据南方日报记者从互联网安全平台方面了解到，从5月12日开始，英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击，中国大批高校也出现感染情况，众多师生的电脑文件被病毒加密，只有支付赎金才能恢复。据360安全卫士紧急公告，不法分子使用NSA泄漏的黑客武器攻击Windows漏洞，把ONION、WNCRY等勒索病毒在校园网快速传播感染，建议电脑用户尽快使用360&NSA武器库免疫工具&进行防御。
据网络安全平台安天CERT紧急分析，判定该勒索软件是一个名称为&wannacry&的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101，微软在今年3月份发布了该漏洞的补丁。日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的&网络军火&中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该&网络军火&后进行了些次全球性的大规模攻击事件。
据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的&永恒之蓝&黑客武器传播的。&永恒之蓝&可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，&永恒之蓝&就能在电脑里执行任意代码，植入勒索病毒等恶意程序。
由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。
目前，&永恒之蓝&传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。&当前位置： -
比特币勒索病毒来袭? WannaCry病毒防范攻略
双击自动滚屏
来源:新浪汽车?<font color="#FF次
近年来，一种以敲诈用户钱财为目的比特币勒索病毒WannaCry开始流行起来，用户电脑中如果误中这种病毒，该类病毒会自动的加密用户在电脑硬盘中的各类资料文件，由于大多勒索病毒采用了高强度加密方式，所以没有病毒作者手中的密钥，就无法进行文件的解密操作。如果想要解密文档，受害者就不得不为此而交付赎金，甚至有的交付了赎金后因为各种原因依旧无法解密文件，用户资料文件因此被锁，损失惨重。能让Windows躺着也能中枪的勒索病毒Wanna然而，一种危害更大，感染力更强的勒索病毒Wanna现身网络，使得国内多处高校网络和企业内网出现WannaCry勒索软件感染情况，与之前勒索病毒不同的是，WannaCry勒索病毒利用的是NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播功能，使得病毒会自动扫描网络中开放445文件共享端口的Windows机器，扫描到开放了445端口的电脑后，如果用户Windows没有安装对应的安全补丁，则无需用户任何操作，病毒就能入侵用户电脑系统，进而感染Windows。什么叫敲诈病毒（勒索软件）敲诈者病毒是一种目前流行的病毒，通过网络等多种途径传播，受害者电脑感染该病毒后后，病毒将自动加密受害者电脑里的多种常见文件，使得受害者的重要资料文件无法正常使用，并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种文件。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金，最终也还是无法还原被加密的文件。敲诈病毒造成的危害：由于敲诈者病毒大多都加密了常见格式文件，诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密，工作事业文件被加密严重影响工作。于是便有了不少受害者上网求助。“十几年的照片被恶意加密，跪求破解”。“多年研究资料被加密，研究成果毁于一旦”。由于敲诈者病毒大多数采用了比特币支付方式，并且有些敲诈者病毒的支付页面已经无法打开或者需要采用非常方式打开，导致用户即使想要支付赎金都无从支付。甚至有些敲诈者病毒在用户支付赎金后依然无法进行解密操作。国家网络与信息安全信息通报中心最新通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0。与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。此前通报：国家网络与信息安全信息通报中心更早之前紧急通报称：日20时左右，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。请广大计算机用户尽快升级安装补丁，地址为：/zh-cn/library/security/MS17-010.aspxWindows 2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入"高级设置"，禁用"文件和打印机共享"设置；或启用个人防火墙关闭445以及135、137、138、139等高风险端口。已感染病毒机器请立即断网，避免进一步传播感染。勒索软件的威胁未消失：网络安全专家指出，勒索软件网络攻击大规模爆发于北京时间12日晚8点左右，当时国内有大量机构和企业的网络节点已关机。许多重要的计算机系统处于内网环境，无法访问前述域名，并且也可能无法及时更新安全补丁，因此仍可能面临较大风险。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。国家互联网应急中心博士、工程师韩志辉表示，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。用户主机一旦被勒索软件渗透，只能通过专杀工具或重装操作系统的方式来清除勒索软件，但用户重要数据文件不能完全恢复。建议解决方案：除了国家网络与信息安全信息通报中心的建议外，我们帮您整理了一份临时解决方案，现在就手把手教你：如何设置电脑，防范勒索病毒。一、临时解决方案：开启系统防火墙利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）打开系统自动更新，并检测更新进行安装二、Win7、Win8、Win10的处理流程1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙2、选择启动防火墙，并点击确定3、点击高级设置4、点击入站规则，新建规则5、选择端口，下一步6、特定本地端口，输入445，下一步7、选择阻止连接，下一步8、配置文件，全选，下一步9、名称，可以任意输入，完成即可三、XP系统的处理流程1、依次打开控制面板，安全中心，Windows防火墙，选择启用2、点击开始，运行，输入cmd，确定执行下面三条命令net stop rdrnet stop srvnet stop netbt3、由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。四、尝试文件恢复在测试病毒的时候发现该病毒采用的是先生成加密文件再删除原文件的方式，所以用户就可以使用数据恢复软件对被删除的原文件进行恢复，存在成功恢复的可能，前提是用户没有再往该目标分区写入文件。此外有安全软件发布了拦截补丁与文件尝试恢复工具，中招者可以尝试一下。五、病毒作者设的开关得好好利用WannaCry病毒传播不久，一位国外的安全研究人员在病毒样本中发现了一串看上去很长，看上去随意打出来的域名：。后经研究发现，勒索样本启动后会首先请求该域名，在没有得到回应后，病毒才会执行加密操作，相反的话则放弃加密操作并直接退出，也就是说， 感染的电脑如果能够成功连通该域名，就不会被恶意加密。目前该域名已经处于可访问状态，所以可以连接互联网的电脑就暂时的安全了。至于内网的用户，管理员可以在内网建一个该域名来暂时规避风险。不过该方法靠不靠谱还很难说。六、定期异地备份敲诈者木马正处于传播期，被病毒感染上锁的电脑还无法解锁。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。暂无