建站之家:纯净手机游戏下载网站

建站之家首页|软件合集|最近更新

当前首页:首页 → pc软件

Wannacry免疫工具

Wannacry免疫工具

类型:安全杀毒版本:v2.0.0.5更新:2020-10-14 22:06:00大小:787KB系统:WinAll语言:简体

  • 软件介绍
  • 网友评论
  • 下载地址

为您推荐:

WannaCry勒索病毒防护工具是一款非常给力的实用简单工具,有效的防卫了最近非常流行的WannaCry勒索病毒,使用这款Wannacry免疫工具不管你电脑里哪个角落出现了可能危及到电脑的病毒,统统一键删除。

病毒介绍

  5月12日晚开始,WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击,受入侵电脑超过20万,并且影响还在持续中,用户依然需要加强防护措施。WannaCry勒索病毒事件最初在英国曝光,12日晚上10点,英国时间大约下午3点半,英国全国共16家医院同时遭到网络攻击。 所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁,文件已经全部被加密,除非你支付价值300美元的比特币,否则你的文件将会被永久删除”。

  很快,在英国地区遭受这些攻击的同时,全球多地发出告警,一场针对全球的网络攻击,瞬时展开。我国多个行业网络同样受到WannaCry勒索病毒攻击, 其中教育行业中的校园网受损尤为严重。目前,全球遭遇攻击的国家超过150个,幸免的国家,要么没有电脑,要么没有网络。

病毒分析

  通过分析发现,WannaCry勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件, 利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁,导致电脑或服务器中招。

  今年4月,方程式组织泄露addjob、swift、windows三个文件夹的数据,其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。 本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

病毒流程

  勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。

  其中u.wnry*就是后续弹出的勒索窗口。

  窗口右上角的语言选择框,可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

  通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

  以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

  此时如果点击勒索界面的decrypt,会弹出解密的框。

  但必须付钱后,才可以解密

  115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

  作者目前是通过这三个账号随机选取一个作为钱包地址,收取非法钱财。

病毒影响

  深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看,从5月12号晚上开始, 不到一天的时间,发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次,其中受灾最严重的地区是杭州市,被攻击次数多达1612次。其实,勒索病毒并不陌生,这几年也频繁出现,然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。 究其原因,是大家对漏洞认知较少,也不清楚是否需要防护,该如何去防护。

  由于没有相关监测产品对其业务进行7*24小时的安全值守,导致很多用户对安全漏洞感知不足,使得攻击者通过漏洞对其业务进行勒索。


查看全部内容

网友评论

收藏文章
表情删除后不可恢复,是否删除
取消
确定
图片正在上传,请稍后...
评论内容为空!
还没有评论,快来抢沙发吧!

热评话题

按钮 内容不能为空!
立刻说两句吧! 查看0条评论