安天安全研究与应急处理中心(Antiy CERT)在北京时间5月26日19点,监测到中国发生了一次大规模的DDoS攻击事件。参与攻击的源地址覆盖广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”——“暗云Ⅲ”。经过多次取证分析发现,其恶意代码感染量较大,并且其恶意代码的功能非常复杂,利用带有正常数字签名的文件进行传播,同时具有下载文件执行、刷流量、DDoS攻击等行为。
在面对各种严峻的安全风险时,除了通过有效的安全设计和使用安全产品形成防御能力之外,我们必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户,有可能不能实施全面的系统的补丁策略,同时实时获取补丁的方法一定程度上受到网络隔离的相应影响或限制,因此,可能需要采用对严重漏洞进行单点补丁的策略。微软补丁包机制是不安装基础补丁包则无法安装后续的部分补丁。因此安天建议普通的桌面系统和不重要的服务系统在内部无法安装在线补丁的情况下,先安装基础补丁包,然后再安装无法安装的补丁包。因为基础补丁包体积较大,一旦出现大型的安全事故,由于大量用户进行下载,可能造成下载不成功的情况,因此希望网络管理员提前储备基础补丁包及重要补丁包。
WannaCry勒索者蠕虫爆发以来,网上存在着很多的“误解”和“谣传”,也包括一些不够深入的错误分析。其中有的分析认为“WannaCry的支付链接是为硬编码的固定比特币地址,受害者无法提交标识信息给攻击者,其勒索功能并不能构成勒索的业务闭环。”安天安全研究与应急处理中心(Antiy CERT)经分析认为经分析猜测上述错误的分析结论可能是因为分析环境TOR(暗网)地址不能正常访问引起的。如可以访问TOR网络则会为每一个受害者分配一个比特币地址进行支付。
同时我们需要注意,抹掉开关域名的样本,原则上不受当前开关灭活机制的控制,应该有更大的传播面积(但事实上,业内并未监控到其大面积传播)。修改者选择了一个实际不能完成加密勒索的版本来修改,这是巧合还是偶然,是值得思考的。修订者究竟是希望造成更大面积的传播,还是因其他原因修改样本,甚至只是为了证明这个样本的存在,目前还很难判断动机。同时,我们也需要思考和警惕的是:正如我们在安天2016基础威胁年报中所指出的那样,“威胁情报也是情报威胁”。类似Virustotal多引擎扫描等威胁情报来源,构成了能够精准分发“样本”到全球所有主要安全厂商的通道,他们即是重要的威胁来源,但也是一个信息干扰与反干扰的斗争舞台。
蠕虫勒索软件专杀工具(WannaCry)--Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。
下载地址:
https://www.antiy.com/response/wannacry/ATScanner.zip
蠕虫勒索软件免疫工具(WannaCry)-- 本工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等功能,能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件,但不能阻断WannaCry在本机上的运行。
下载地址:
https://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
在周末两天,各大安全厂商和新闻媒体频繁报道“WannaCry” 勒索软件事件,听起来很恐怖。如果您的机器周末处于关机状态,那很庆幸逃避了此次“灾难”,但到了周一,请别轻易打开机器和联网,我们将为您提供正确的“开机指南”,避免被感染。
在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后,陆续有用户提出问题,我们形成了第二版本FAQ。并对其中一些传言进行了解释。
安天已经针对勒索蠕虫 “魔窟”(WannaCry)陆续发布了全面分析报告、开机指南、和两份FAQ,以及相关的专杀与免疫工具,对已经感染了病毒的用户,安天有如下重要建议。
如果该病毒已经发作,且有重要文件被加密,请用户不要惊慌,马上关机保存好硬盘,找到专业机构或者使用专业工具对硬盘进行数据恢复。尽管被魔窟蠕虫加密过的多数文件,目前依然是没有解密方法的,但有可能用数据恢复的方式找到被魔窟蠕虫删除过的加密前原始文件。注意,此时不要让系统继续运行,更不要在已经染毒的当前系统中运行各种数据恢复工具,因为系统运行时进行的各种写操作,都可能进一步降低文件恢复的成功率。
在安天今天清晨发布报告《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》后,有大量用户就本次事件提出问题,我们选择了其中的高频问题,形成了本FAQ。我们会继续跟进网友的问题。
安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网遭受大规模感染。截止到5月13日23时,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响。 经过安天CERT紧急分析,判定该勒索软件是一个名称为“魔窟”(WannaCry)的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织“影子经纪人”(Shadow Brokers)公布的“方程式”组织(Equation Group)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。
自2014年起,安天提出了“观点型年报”的自我要求,我们需要有自己的视角、立场和分析预测,我们放弃了传统的以后台恶意代码的数据输出来构筑模板式“统计型”年报,我们深知那些精确到行为和静态标签的“蔚为壮观”的统计数据,虽然看上去很美,但其并不具备足够的参考价值;而那种用传输扫描次数来表征威胁严重程度的度量衡,尽管对部分类型的风险依旧有效,但那确实是“蠕虫”和DDoS时代的产物,其掩盖了那些更为严重的、更为隐蔽的威胁。但仅仅有观点型年报这样的意识就足够么?回看此前几年安天自己的年报,在充满着“全面转向”、“日趋严重”、“不断浮现”、“接踵而至”这些成语的描述中,真的揭示了威胁的现状和趋势么?
2017年1月31日,Softpedia网站发布了一篇名为《Cryptkeeper Linux Encryption App Fails at Job, Has One Letter Skeleton Key - "P"》的文章,其中提及,CryptKeeper应用在Debian 9中存在一个BUG,会使得用户为加密文件夹设定的密码被替换为单个字符“p”,从而使字符“p”作为解密由其加密的文件夹的通用密码。