Since May 12, 2017, WannaCry has spread on a massive scale around the world, causing significant impacts. Therefore, security firms start to analyze and prevent the spread of this ransomware. Technical personnel of NSFOCUS also analyzed the sample immediately and released a detailed analysis report.
The sample exploits the ETERNALBLUE SMB vulnerability or DOUBLEPULSAR backdoor for propagation and infection of the ransomware. The sample first connects to the domain name http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, to test network connectivity. If the network is reachable, the sample exits; otherwise, the sample carries out subsequent behaviors. Therefore, a reachable domain name can be registered to stop further attacks.
在2016年报道的盗取超过15万韩国用户银行信息的Blackmoon银行木马于2017年又被发现采用了全新的框架模式来对网络银行进行攻击,通过三个分开但又彼此联系的步骤来部署该木马,并进行后续的攻击。这与在2016年的以adware和exploit kits为传播方式的框架完全不同。
从5月12日开始,WannaCry勒索软件在世界范围内迅速传播,造成了极大的影响,安全行业的各个公司都对此次事件开展了分析和防护工作,绿盟科技的技术人员也在第一时间对样本进行分析并出具了详细的分析报告。
这几天,安全业者和客户一起度过了几个不眠之夜。罪魁祸首就是WannaCry勒索病毒肆虐,这是首例以蠕虫方式进行传播的勒索软件。据报道已经感染了150多个国家的20多万台主机,而且,随着勒索软件的变种出现,受害者人数还在增加。
2017年5月12日,20:31,绿盟科技某分支技术经理接到某大型企业用户一阵急促的电话,“快!救急!生产网疑似遭到网络攻击!!”。本地应急小组火速就位该企业生产调度中心。
5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。
“WannaCry”勒索事件自爆发以来,造成了大量Windows主机感染,本文档用于指导企业安全管理人员可以在第一时间对可能发生的病毒爆发进行充分准备,引导企业通过正确的流程和手段进行危害抑制和损失控制。
5月13日凌晨,面临来势汹汹的WannaCry勒索软件威胁,绿盟科技应急指挥中心启动了最高级别应急响应,成立应急响应团队,从各产品线、各地工程服务及一线销售抽调精英力量,应对突如其来的攻击,一场应急响应的战斗打响!
众所周知,业务系统维护是一件复杂活,打补丁、装软件都需要很小心,很有可能会出现各种未知状况,往往验证多次后再小心进行,而面对本次WannaCry勒索病毒的肆虐传播,时间不等人!因此,绿盟科技推出了“配置核查与一键加固结合”的方案,在绿盟安全配置核查系统(简称NSFOCUS BVS)上,除了帮助企业检查所管辖IT系统是否有被传播病毒的配置缺陷(潜在风险)外,还能提供一键加固方案,为打补丁争取到宝贵的时间窗口。
假设当前OS是64-bits Win7。至少从2002.11.21开始,有些文章提到DNS Client Service自带一种日志。
北京时间2017年5月12日20时左后,全球爆发大规模勒索软件感染事件,99个国家近万台电脑收到该勒索软件攻击。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家均已中招,且攻击仍在蔓延。