WannaCry勒索漏洞手册.docxVIP

密级：内部资料

WannaCry勒索病毒手册

安全运营规范

版本号：V0.1

360安全运营服务中心

2018年12月

文档修订

版本

日期

修改人员

描述

审核人员

0.1

2019-1-22

目录

TOC\o1-3\h\z\u一、 WannaCry勒索病毒介绍 1

1.1 WannaCry勒索病毒介绍 1

1.2 WindowsSMB远程代码执行漏洞介绍 1

二、 WannaCry勒索病毒特征、预防及处理 2

2.1 WannaCry勒索病毒特征 2

2.1.1 感染文件 2

2.1.2 可能利用的漏洞： 2

2.2 预防 3

2.3 处理方法 4

2.3.1 病毒查杀 4

2.3.2 勒索病毒文件恢复工具 4

360企业安全集团安全运营服务中心第PAGE3页

WannaCry勒索病毒介绍

WannaCry勒索病毒介绍

WannaCry(WannaDecryptor)，是一种“蠕虫式”的勒索病毒软件，大小仅3.3MB，其利用WindowsSMB远程代码执行漏洞进行传播，基于445端口。感染此病毒的电脑文件被加密，要想解密恢复文件，则需要支付高额赎金。

此勒索病毒是自熊猫烧香以来影响力最大的病毒之一，影响了金融、能源、医疗等众多行业。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。

WindowsSMB远程代码执行漏洞介绍

SMB：ServerMessageBlock，通信协议，他能用于Web连接和客户端与服务器之间的信息沟通。

当Microsoft服务器消息块1.0（SMBv1）服务器处理某些请求时，存在多个远程代码执行漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。

WannaCry勒索病毒特征、预防及处理

WannaCry勒索病毒特征

感染文件

常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）

并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）

压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）

电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）

数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

开发者使用的源代码和项目文件（.php、.java、.cpp、.asp、.asm）

密匙和证书（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）

美术设计人员等使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

虚拟机文件（.vmx、.vmdk、.vdi）

所有被感染的文件后缀名都被统一修改为”.WNCRY”。

可能利用的漏洞：

SMB和NBT漏洞，对应MS17-010漏洞，针对139、445端口发起攻击，影响范围:WindowsXP,2003,Vista,7,Windows8,2008,2008R2；

SMB和NETBIOS漏洞，对应MS10-061漏洞，针对139和445端口，影响范围：WindowsXP、Windows2003

SMB服务漏洞，对应MS09-050漏洞，针对445端口

SMBv1服务漏洞，针对445端口，影响范围：WindowsXP、Windowsserver2003，不影响windowsVista及之后的操作系统

SMBv1、SMBv2漏洞，对应MS17-010，针对445端口,影响范围：较广，从WindowsXP到Windows2012

预防

（一）、关闭445等端口（其他关联端口如：135、137、139）的外部网络访问权限，在服务器上关闭不必要的上述服务器端口。

（二）、加强对445等端口（其他关联端口如：135、137、139）的内部网络区域访问审计，即使发现非授权行为或潜在的攻击。

（三）、及时更新操作系统补丁

（四）、安装并及时更新杀毒软件

（五）、不要轻易打开来源不明的电子邮件

（六）、定期在不同的存储介质上备份信息系统业务和个人数据

处理方法

病毒查杀

已被感染主机：下线，查杀病毒，尝试恢复数据

未被感染主机：断网，做好以上所述预防工作，并使用工具进行查杀，再重新上线

勒索病毒文件恢复工具

针对已经被病毒感染并加密的文件，可使用360勒索病毒文件回复工具，使用时建议把恢复的文件保存在干净的移动硬盘或者U盘上。360