安天发布措施紧急应对新型勒索软件“wannacry”

注：该勒索软件的部分版本在XP体系下因文件释放未成功而未加密用户文件。

加密体系中的┞氛片、图片、文档、紧缩包、音频、视频、可履行法度榜样等几乎所有类型的文件，被加密的文件后缀名被同一修改为“.WNCRY”。

安天安然研究与应急处理中间(Antiy CERT)发明，北京时光2017年5月12日20时阁下，全球爆发大年夜范围勒索软件感染事宜，我国大年夜量行业企业内网大年夜范围感染，教导网受损严重，进击造成了教授教化体系瘫痪，甚至包含校园一卡通体系。

据BBC报道，今天全球很多处所爆发一种软件勒索病毒，只有缴纳高额赎金(有的要比特币)才能解密材料和数据，英国多家病院中招，病人材料威逼外泄，同时俄罗斯，意大年夜利，全部欧洲，包含中国很多高校……

安天CERT在2017年4月14日宣布的《2016年收集安然威逼的回想与瞻望》中提到“收集军器”的扩散周全降低进击者的进击成本和勒索模式带动的蠕虫的回潮弗成避免等不雅点。结不雅未满1个月，安天的┞封种“勒索软件+蠕虫”的传播方法猜测即被不幸言中，并敏捷进入全球性的┞反染模式。

安天依托对“勒索软件”的分析和预判，不仅可以或许有效检测防御今朝“勒索软件”的样本和破坏机理，还对后续“勒索软件”可能应用的技能进行了布防。安天智甲终端防御体系完全可以阻拦此次勒索软件新家族“wannacry”加密用户磁盘文件。

事宜分析

经由安天CERT紧急分析，剖断该勒索软件是一个名称为“wannacry”的新家族，今朝无法解密该勒索软件加密的文件。该勒索软件敏捷感染全球大年夜量主机的原因是应用了基于445端口传播扩散的SMB马脚MS17-101，微软在本年3月份宣布了该马脚的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)颁布的Equation Group(方程式组织)应用的“收集军器”中包含了该马脚的应用法度榜样，而该勒索软件的进击者或进击组织在借鉴了该“收集军器”落后行了些次全球性的大年夜范围进击事宜。

当体系被该勒索软件入侵后，弹出勒索对话框：

图1 勒索界面

图 2 加密后的文件名

进击者极其嚣张，号称“除进击者外，就算老天爷来了也不克不及恢复这些文档” (该勒索软件供给免费解密数个加密文件以证实进击者可以解密加密文件，“点击按钮，就可以免费恢复一些文档。”该勒索软件作者在界面中宣布的声明表示，“3天内付款正常，三河汉翻倍，一周后不供给恢复”)。实际情况异常消极，勒索软件的加密强度大年夜，没有密钥的情况下，暴力破解须要极高的运算量，根本弗成能成功解密。

图3 可解密数个文件

图4 28种说话

该勒索软件会将自身复制到每个文件夹下，并重定名为“@WanaDecryptor@.exe”。同时衍生大年夜量说话设备等文件：

图5 衍生文件

该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开首：

图6 加密文件

加密如下后缀名的文件：

PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

图7

临时解决筹划 -开启体系防火墙 -应用体系防火墙高等设置阻拦向445端口进行连接(该操作会影响应用445端口的办事) -打开体系主动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

1、打开控制面板-体系与安然-Windows防火墙，点击左侧启动或封闭Windows防火墙