【.com原稿】redhat9i是一个80后的网络工程师,和大多数IT人一样,喜欢瞎折腾,他的兴趣爱好很广泛,无线电通讯、抢险救援、吹笛子、中医理疗、摄影等等。redhat9i·网络工程师初识redhat9i主要活跃在论坛,喜欢在论坛上和大家一起讨论问题和交流经验,结识了很多同行,帮他解决了很多问题,让redhat9i的技术能力有了很大的提高。他也算是一个可以指导其他代理人工作的人。从此,我就在论坛扎根了。从论坛的版主到现在的超级版主,每天登录论坛已经成为redhat9i的一个习惯。WannaCry病毒分析redhat9i所在的公司是一款杀毒软件的区域代理。除产品销售外,还提供专业的售后服务。五月,注定又是一个躁动不安的月份。5月13日,永恒之蓝病毒爆发。故事发生在一个行业客户手中的redhat9i。自从发现这个病毒后,redhat9i就通知客户加强了。根据厂商病毒实验室发来的详细病毒信息,激活后病毒会释放mssecsvc.exe、tasksche.exe、b.wnry、c.wnry、r.wnry、s.wnry、t.wnry、u。wnry,Taskdl.exe,Taskse.exe十个文件,然后访问一个看似用手卷键盘敲出的域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(以下简称病毒网站)。如果域名可用,将停止对主机的加密,否则将加密主机文件。这种行为称为KillSwitch。KillSwitch是永恒之蓝病毒是否加密系统的决定性开关。这是英国一名网络安全工程师发现的病毒漏洞。一旦永恒之蓝病毒成功访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个地址,病毒就会停止系统。加密感染其他机器,同时自己在最长时间内注册了不存在的域名,最大程度的阻止了病毒继续肆虐。这个域名看起来就像是病毒作者为自己留下的一个紧急终止开关,以防止事情脱离他的控制。病毒激活后通过135、137、13、445端口和局域网MS17-010漏洞进行传播。客户在省公司内网(无法上网)设置病毒网站,防止病毒在内网被激活加密。同时通知各单位打补丁,关闭135、137、139、445端口。redhat9i还派人为客户启用相关防范策略,通过杀毒软件限制主机系统中十个已知病毒文件的发布.但糟糕的是,他们的硬化速度还是赶不上病毒的传播速度。5月19日,redhat9i在客户网络检测到mssecsvc.exe和tasksche.exe两个文件,诊断为永恒之蓝。幸运的是,被杀毒软件杀死了。就在他松了口气的时候,省公司通过对病毒网站的访问监控,发现至少有5家分公司的大量内网主机在访问这个网站。这是什么意思?说明内网有大量主机感染了该病毒。redhat9i团队惊出一身冷汗。这个局域网中有数万台计算机。如果真的传播开来,那将是一个巨大的打击。仔细查看后,他发现所有主机都没有被加密,这倒是不幸中的万幸。杀毒软件无响应5月20日,redhat9i对后台访问永恒之蓝站点的PC一一进行检查,发现这些PC都安装了杀毒软件,而且杀毒组件也是最高的质量。使用EICAR标准杀毒测试文件,官方下载地址(http://www.eicar.org/85-0-Download.html)进行了测试,杀毒软件做了查杀测试,从而确认防病毒软件是否正常工作。这又让他疑惑了。宿主在局域网内访问了一个自己搭建的假病毒网站,而且没有加密,说明这是早期出现的病毒,不是2.0变种。后来证实该2.0变种是杀毒厂商技术人员造成的乌龙,被各大媒体转发报道,随后涉事技术人员也公开道歉。截至目前,我们还没有收到任何关于没有KillSwitchEternalBlue的病毒样本的通知。按照当时的资料,杀毒软件可以对付这些病毒,为什么杀毒软件查不出来呢?由于市区人手充足,几乎所有市区的PC都重新安装了。为了查明杀毒软件对该病毒样??本没有做出预期响应的原因,需要获取该病毒样本。5月20日中午,redhat9i安排同事前往偏远地区一台刚刚断网没来得及重装的中毒主机现场,分析系统运行情况,采集可疑样本进行分析由防病毒制造商的病毒实验室。经厂商病毒实验室确认,此次采集的样本发生了变异,与之前检测到的病毒代码不同。”5月20日下午,redhat9i紧急制作清理组件。晚上,他们找了一家分公司进行试点。首先,他们更新服务器,然后分发这些组件,确保更新的组件不会导致系统蓝屏,影响客户应用程序,并且能够清除病毒。.然后大家到能查到的主机上去,确保组件已经更新,守在主机上进行全盘扫描,确认这次可以成功清除病毒文件。5月21日凌晨1点,redhat9i团队正式通知仍负责公司总部的客户技术负责人,此次病毒样本可以清除,不存在兼容性问题。异常行为客户需要现场验证清除这些病毒文件后是否还有访问病毒网站的可能。5月21日早上7点,redhat9i发现部分PC机中毒断网,确认系统中有病毒样本。重新连接网线,捕获这些中毒计算机的网络通信。我没有看到他们访问病毒网站。在大量不同的电脑上多次尝试后,并没有重现之前访问网站的行为。难道是redhat9i抓包?有问题吗?他联系省公司查看了病毒网站的访问记录,没有发现他手上的感染病毒的电脑有任何异常行为。这就奇怪了,似乎一夜之间所有中毒和未中毒的PC都不再访问之前的域名了。经过redhat9i和现场几位同事的讨论,大家猜测病毒检测行为可能不会一直进行,应该需要一定的条件,比如特定的时间。最终的原因还需要病毒实验室去研究。从5月20日到5月21日,日以继夜,经过两天两夜的治疗,这场没有硝烟的战争基本结束了。强化安全意识防火、防盗、防病毒的事情都做了处理,回过头来看,觉得这次事件还存在很多问题。1.补丁一定要认真对待。好像自Windows系统诞生以来,微软就发布了系统补丁,但管理员们似乎并没有重视。大多数人认为漏洞在理论上可以被利用并造成一些损害,但事实并非如此。什么。在redhat9i的印象中,上一次被利用的大规模病毒感染还是微软的MS08-067漏洞。病毒的名称是worm_downad.ad。qwe123等数百名华人利用惯用的密码字典传播感染,还利用微软MS08-067漏洞进行大规模传播。这个漏洞被发现已经9年了,但我还是发现很多客户在工作中被这个病毒困扰。因此,请注意补丁。不要指望安装在充满漏洞的系统中的安全软件会为您修复所有问题。如果房子的地基不稳固,你还能指望房子为你遮风挡雨吗?这里是永恒之蓝利用的MS17-010漏洞补丁下载地址>>2.搭建病毒访问域名站点。至此,永恒之蓝激活后会访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。如果发现该域名可用,则将停止加密。为了让域名能够及时解析,特别是不能上网的局域网,建议在公司内部建站。分析记录。3、如果您不幸感染了该病毒,可以使用各大安全厂商提供的专用查杀工具进行查杀,也可以联系您使用的杀毒软件厂商帮您处理。目前亚信、安天、360、北新源、瑞星、金山、腾讯等7家公司开发了杀毒杀毒工具。可以选择使用亚信杀毒软件下载地址(32位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe亚信杀毒软件下载地址(64位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe亚信杀毒使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc安天特杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。安天回复链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune360公司专用杀毒工具下载链接:http://b.360.cn/other/onionwormkillerbeiXinyuan公司专用杀毒工具及使用说明下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205瑞星免疫工具下载链接:http://download.rising。net.cn/zsgj/EternalBluemianyi.exe瑞星免疫工具+杀毒下载地址:http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe金山安全免疫工具(***版,下载后自动适配用户使用的系统,适应任何个人和企业用户)下载地址:http://pan.baidu.com/s/1o8hqpXC金山毒霸V8+终端安全防护系统免疫工具(***版,适合金山毒霸安全安装企业版本产品级用户)下载地址:http://pan.baidu.com/s/1kVHUlwz腾讯电脑管家勒索病毒免疫工具及使用说明ions下载链接:http://guanjia.qq.com/wannacry/腾讯电脑管家勒索病毒免疫工具(离线版)下载地址:http://url.cn/496kcwV腾讯电脑管家勒索病毒免疫工具(网络版)下载地址:http://url.cn/498da3o腾讯电脑管家管理员助手下载地址:http://url.cn/499YVsJ命令行:MS_17_010_Scan.exe192.168.164.128如果你愿意分享你的故事,请加入开发者QQ交流群312724475联系群主小关,期待你的精彩故事!【原创稿件,合作网站转载请注明原作者和出处为.com】
