安天安全研究與應(yīng)急處理中心(Antiy CERT)發(fā)現(xiàn)，北京時(shí)間2017年5月12日20時(shí)左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，我國眾多行業(yè)的內(nèi)網(wǎng)網(wǎng)絡(luò)被大規(guī)模感染。教育網(wǎng)受損尤為嚴(yán)重，攻擊造成了部分教學(xué)系統(tǒng)、校園一卡通系統(tǒng)癱瘓。截止到5月14日0時(shí)，事件影響范圍逐步擴(kuò)大，包括企業(yè)、醫(yī)療、電力、能源、銀行、交通等多個(gè)行業(yè)均遭受不同程度的影響。

經(jīng)過安天CERT緊急分析，判定該勒索軟件是一個(gè)名稱為魔窟“WannaCry”的新家族，目前暫無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-010，微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了此次全球性的大規(guī)模攻擊事件。

由于“WannaCry”大規(guī)模爆發(fā)于北京時(shí)間周五晚20點(diǎn)，因此國內(nèi)還有大量政企機(jī)構(gòu)網(wǎng)絡(luò)節(jié)點(diǎn)尚在關(guān)機(jī)狀態(tài)。因此，周一開機(jī)已經(jīng)是一場安全考驗(yàn)。安天修訂此前的應(yīng)急手冊，網(wǎng)絡(luò)管理人員和企事業(yè)單位人員可根據(jù)此開機(jī)指南進(jìn)行相應(yīng)操作，防止魔窟“WannaCry”勒索軟件感染計(jì)算機(jī)。

周一開機(jī)指南

如果您已“中招”請先不要急于重裝系統(tǒng)、格式化硬盤等破壞加密文檔行為，可先關(guān)機(jī)封存，根據(jù)情況考慮：利用數(shù)據(jù)文件恢復(fù)軟件嘗試恢復(fù)，或等待可能出現(xiàn)的解密方案。

工具準(zhǔn)備有如下三種方式可供選擇：

安天官網(wǎng)下載

1

蠕蟲勒索軟件專殺工具(WannaCry)

//www.antiy.com/tools/iep/setup.zip

2

蠕蟲勒索軟件免疫工具(WannaCry)

//www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

3

安天智甲防勒索免費(fèi)專版

(WannaCry)

//www.antiy.com/tools.html

網(wǎng)盤合集下載

1

安天工具集：免疫工具+專殺工具+智甲防勒索免費(fèi)版

光盤版V1.3 ISO //pan.baidu.com/s/1hsDWAHm

U盤版V1.4 //pan.baidu.com/s/1eSb0Vnk 20：10

光盤版ISO V1.4 //pan.baidu.com/s/1eSoYiFC

免疫與專殺工具Web版 //pan.baidu.com/s/1nv9cBAL

免費(fèi)領(lǐng)用專用光盤或U盤

安天已將工具集、操作手冊、離線補(bǔ)丁包刻入專用光盤或U盤，您可向客戶經(jīng)理或工程師進(jìn)行免費(fèi)領(lǐng)用。

▲操作步驟流程圖

3.1 前期準(zhǔn)備

準(zhǔn)備移動(dòng)U盤或者光盤;

下載專殺工具、免疫和防勒索專版工具;

下載安天提供的離線版補(bǔ)丁;(根據(jù)系統(tǒng)版本下載相應(yīng)的補(bǔ)丁，如需在線補(bǔ)丁見[5])

將下載的三款工具及補(bǔ)丁拷貝至U盤或刻入光盤。

3.2 準(zhǔn)備開機(jī)

拔掉主機(jī)網(wǎng)線，開機(jī)。

3.3 免疫、打補(bǔ)丁

使用蠕蟲勒索軟件免疫工具(WannaCry)(本工具提供禁用系統(tǒng)服務(wù)、設(shè)置ipsec本地組策略等功能，能阻斷通過SMB漏洞MS17-010向本機(jī)傳播WannaCry勒索軟件，但不能阻斷WannaCry在本機(jī)上的運(yùn)行)。

使用指南：

1、雙擊工具運(yùn)行;

2、需要三項(xiàng)免疫策略全部點(diǎn)擊(包括設(shè)置策略免疫兩項(xiàng)與禁止服務(wù)免疫);

3、點(diǎn)擊官方補(bǔ)丁，通過離線升級包打補(bǔ)丁;或轉(zhuǎn)入微軟官網(wǎng)下載補(bǔ)丁。

3.4 專殺

免疫后，使用蠕蟲勒索軟件專殺工具(WannaCry)，WannaCry勒索者軟件清除工具可以對已經(jīng)感染的主機(jī)進(jìn)行勒索軟件的清除(但無法解密已經(jīng)被加密的文件)。

使用指南：

解壓縮“setup.zip”文件;

管理員運(yùn)行解壓目錄中的“setup.exe”文件;

稍后(默認(rèn)無界面安裝)，安裝成功后彈出主界面;

點(diǎn)擊“一鍵云查殺”按鈕，進(jìn)行掃描;

當(dāng)檢測到病毒后，點(diǎn)擊“立即處理”。

3.5安裝智甲防勒索專版

安裝安天智甲防勒索免費(fèi)專版。說明：如已安裝安天私有云安全系統(tǒng)，已具備防勒索功能，無需再安裝智甲防勒索專版。

3.5重啟聯(lián)網(wǎng)

重新啟動(dòng)機(jī)器，插入網(wǎng)線，連接網(wǎng)絡(luò)。

內(nèi)網(wǎng)網(wǎng)絡(luò)開機(jī)指南(管理員必讀)

因WannaCry內(nèi)網(wǎng)具備“開關(guān)域名”機(jī)制，內(nèi)網(wǎng)網(wǎng)絡(luò)中如已有被感染機(jī)器，還會(huì)向新開機(jī)的機(jī)器傳播感染。

所有內(nèi)網(wǎng)網(wǎng)絡(luò)開機(jī)風(fēng)險(xiǎn)極高，建議由管理員先建立“開關(guān)域名”實(shí)現(xiàn)免疫后，其他用戶再開機(jī)操作。

1建立“開關(guān)域名”實(shí)現(xiàn)免疫

安天CERT的最新分析結(jié)論表明，勒索軟件的觸發(fā)機(jī)制是否能訪問“開關(guān)域名”，如果訪問成功，則不會(huì)觸發(fā)勒索功能。原始惡意代碼中的“開關(guān)域名”是iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[。]com(注：“[]”是為了防止誤操作點(diǎn)擊刻意添加，實(shí)際域名中無“[]”)， 在2017年5月14日23點(diǎn)41分鐘發(fā)現(xiàn)惡意代碼變種中出現(xiàn)了對“開關(guān)域名”篡改的域名www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[。]com。

注：不建議內(nèi)網(wǎng)用戶直接連接互聯(lián)網(wǎng)方式進(jìn)行“開關(guān)域名”。

根據(jù)此結(jié)論，網(wǎng)絡(luò)管理人員可以先在內(nèi)部網(wǎng)中建立開關(guān)域名，必須搭建內(nèi)部解析服務(wù)?？梢酝ㄟ^在內(nèi)部網(wǎng)絡(luò)搭建DNSServer，將“開關(guān)域名”地址解析到內(nèi)網(wǎng)WEB Server的IP地址，同時(shí)WEB Server可以接受該域名的連接請求，從而實(shí)現(xiàn)免疫。同時(shí)，也可以監(jiān)測內(nèi)網(wǎng)訪問該域名的用戶IP地址和用戶數(shù)量統(tǒng)計(jì)出內(nèi)部用戶的感染情況。

特別說明：

1 安天CERT暫未發(fā)現(xiàn)不訪問“開關(guān)域名”即可以加密用戶文件的“WannaCry”版本，但不能保證所有已有樣本均可以通過此“開關(guān)域名”方案免疫該勒索者。

2 安天CERT目前已經(jīng)在網(wǎng)絡(luò)中發(fā)現(xiàn)有對“開關(guān)域名”篡改的惡意代碼，所以我們不能保證網(wǎng)絡(luò)中所有惡意代碼實(shí)體訪問的“開關(guān)域名”被惡意篡改，“開關(guān)域名”訪問過程中被中途攔截而導(dǎo)致對“開關(guān)域名”訪問不成功，致使惡意代碼能夠成執(zhí)行加密用戶文檔文件。

綜上1、2點(diǎn)所述，安天CERT不建議只采取該單一方案來徹底免疫該勒索者，因惡意代碼攻擊者可以開發(fā)新的程序、變換“開關(guān)域名”、已有樣本也可被惡意篡改等眾多可能導(dǎo)致該免疫方案不可靠。

2管理員安裝生成免疫與專殺工具Web版

01下載安天免疫與專殺工具Web版，下載地址： //pan.baidu.com/s/1nv9cBAL;

02 解壓文件，并復(fù)制nginx文件夾到任意盤根目錄或純英文目錄;

03 在文件內(nèi)找到并運(yùn)行nginx.exe。

如彈出防火墻提示，如圖所示，選擇所在的網(wǎng)絡(luò)點(diǎn)擊“允許訪問”。

打開瀏覽器，地址欄輸入//127.0.0.1或//localhost即可訪問。如圖所示：

內(nèi)網(wǎng)用戶開機(jī)

01 管理員設(shè)置該網(wǎng)頁的訪問地址;

02 內(nèi)網(wǎng)用戶訪問網(wǎng)頁后，按照網(wǎng)頁提示逐步操作即可。

WannaCry勒索者感染用戶補(bǔ)救方案

如果用戶機(jī)器被感染該勒索者，則機(jī)器屏幕會(huì)顯示如下勒索界面：

用戶補(bǔ)救方案

01首先拔掉網(wǎng)線，與內(nèi)網(wǎng)其他機(jī)器隔離;

02 使用蠕蟲勒索軟件免疫工具(WannaCry)免疫;

03 使用蠕蟲勒索軟件專殺工具(WannaCry)清除病毒;

04使用PE盤進(jìn)入操作系統(tǒng)，將可用文件進(jìn)行備份，并對備份數(shù)據(jù)進(jìn)行離線處理;

05如有重要文件，可嘗試文件數(shù)據(jù)恢復(fù)，或等待可能出現(xiàn)的解密方案。

參考鏈接

[1] 蠕蟲勒索軟件專殺工具(WannaCry)

//www.antiy.com/response/wannacry/ATScanner.zip

[2] 蠕蟲勒索軟件免疫工具(WannaCry)

//www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

[3] 安天應(yīng)對勒索軟件“WannaCry”配置指南

//www.antiy.com/response/Antiy_WannaCry_Protection_Manual/Antiy_WannaCry_Protection_Manual.html

[5] 微軟補(bǔ)丁地址：

https：//technet.microsoft.com/en-us/library/security/ms17-010.aspx

安天關(guān)于#勒索者蠕蟲病毒W(wǎng)annaCry#跟進(jìn)時(shí)間表

(截止到2017年5月15日0點(diǎn))：

2017年5月12日20：20，決定將此前的相關(guān)漏洞A級預(yù)警，升級為A級災(zāi)難響應(yīng)。

2017年5月12日 22：45 經(jīng)過測試驗(yàn)證，安天智甲終端防御系統(tǒng)，無需升級即可有效阻斷WannaCry的加密行為，安天探海威脅檢測系統(tǒng)可以檢出WannaCry的掃描包(需要升級到最新特征庫)。

2017年5月13日06：00發(fā)布分析報(bào)告

2017年05月14日 05時(shí)22分 更新

《安天緊急應(yīng)對新型“蠕蟲”式勒索軟件“WannaCry”全球爆發(fā)》//www.antiy.com/response/wannacry.html

綜合深度分析該事件、運(yùn)行流程、解決方案、結(jié)論等，微信公眾號閱讀量在一天之內(nèi)突破31萬。

2017年5月13日17：25發(fā)布 《安天應(yīng)對勒索軟件“WannaCry”配置指南》//www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html 詳細(xì)的處理流程和配置方法

2017年5月13日17：45發(fā)布 《安天應(yīng)對勒索者蠕蟲病毒W(wǎng)annaCry FAQ》//www.antiy.com/response/Antiy_Wannacry_FAQ.html

針對大量用戶的高頻問題進(jìn)行回復(fù)

2017年5月13日19：03 安天發(fā)布蠕蟲病毒W(wǎng)annaCry免疫工具和掃描工具 下載地址為：//www.antiy.com/tools.html

2017年5月14日5：00發(fā)布 《安天應(yīng)對勒索軟件“WannaCry”開機(jī)指南》“拒絕刷屏，一份搞定”//www.antiy.com/response/Antiy_Wannacry_Guide.html

2017-05月14日 15：00 CNCERT推薦使用安天免疫和專殺工具應(yīng)對勒索病毒：//www.cverc.org.cn/yubao/yubao_727.htm

2017年5月14日 17：00，國家網(wǎng)信辦網(wǎng)絡(luò)安全檢查共享平臺(tái)推薦使用安天自查與免疫工具

2017年5月14日18：00，公安部共享平臺(tái)推薦使用安天自查與免疫工具

2017年，5月14日18：44安天和友商應(yīng)急團(tuán)隊(duì)聯(lián)合討論，最終將此蠕蟲病毒中文俗名確定為“魔窟”。

2017年，5月14日 19：00 發(fā)布安天智甲防勒索免費(fèi)版

2017年，5月14日20：00 安天繼續(xù)發(fā)布免疫工具V1.2+專殺工具V1.4+智甲防勒索免費(fèi)版V1.0

佰佰安全網(wǎng)提醒，網(wǎng)絡(luò)病毒肆虐，在使用電腦等電子產(chǎn)品要做好殺毒，了解相關(guān)的網(wǎng)絡(luò)安全知識，保護(hù)自己的電腦安全。