WannaCry是一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch传播速度或更快。截至2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融、能源、医疗等行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
如何发起攻击
WannaCry会扫描电脑上的TCP 445端口,以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。
该恶意软件主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,这些文件包含了后续弹出勒索框的、桌面背景图片、包含各国语言的勒索字体,还有辅助攻击的两个执行文件。这些文件会释放到本地目录,并设置为隐藏。
当用户主机系统被该勒索软件入侵后,弹出勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名被统一修改为“.WNCRY”。目前,安全业界暂未能有效破除该勒索软件的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
本文转自d1net(转载)