日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日，微步在線捕獲到一款新型勒索軟件用于對全球范圍內的目標發(fā)起大范圍的攻擊，多家安全公司將該勒索軟件命名為“WannaCry”。微步在線對該事件中收集到的樣本進行了緊急的分析，發(fā)現(xiàn)攻擊樣本中存在一個開關：樣本啟動后會首先請求域名一個秘密開關域名(具體見附錄IOC)，請求失敗后即開始執(zhí)行加密，相反，請求成功后立即退出，不執(zhí)行加密。根據(jù)微步在線的威脅分析平臺，該域名目前已經(jīng)被安全公司接管，因此新感染的機器如果能夠訪問外網(wǎng)，請求該域名會返回成功，隨即直接退出，不會執(zhí)行加密操作，危害性有所降低。是的，被蠕蟲感染的機器如果能夠成功連通秘密開關域名，反而不會被加密!其他發(fā)現(xiàn)還有：

成都創(chuàng)新互聯(lián)長期為1000+客戶提供的網(wǎng)站建設服務，團隊從業(yè)經(jīng)驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為硚口企業(yè)提供專業(yè)的成都做網(wǎng)站、成都網(wǎng)站建設、成都外貿網(wǎng)站建設，硚口網(wǎng)站改版等技術服務。擁有十余年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

◆WannaCry家族同時具有勒索加密功能和蠕蟲傳播功能，一旦內網(wǎng)某臺機器失陷，且內網(wǎng)其他機器沒有外網(wǎng)訪問權限，則整個內網(wǎng)機器仍舊很有可能被攻陷并被執(zhí)行加密勒索。

◆鑒于該勒索軟件需要連通上述開關域名，才會停止加密。因此，如果企業(yè)內網(wǎng)機器沒有互聯(lián)網(wǎng)訪問權限，則建議客戶在內網(wǎng)修改此開關域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的內網(wǎng)解析，并且將解析IP指向企業(yè)內部在線的web服務器;如果內網(wǎng)機器具有互聯(lián)網(wǎng)訪問權限，則無須采取額外措施。微步在線在第一時間為企業(yè)安全和IT管理者提供了行動指引，具體應對措施請參見下文“企業(yè)如何應對”部分。

◆根據(jù)微步在線的情報監(jiān)測網(wǎng)顯示，此次攻擊已經(jīng)對我國造成較大危害，已知包括教育、醫(yī)療、能源等行業(yè)損失慘重。此外，國外包括英國、俄羅斯、烏克蘭等國家也被攻擊。

◆微步在線對此次事件中的樣本進行了快速的分析，提取了相關IOC，可用于失陷檢測。具體IOC列表見附錄。

◆此次攻擊雖然開關域名已經(jīng)被安全公司接管，不會造成更進一步的危害，但類似的攻擊仍然隨時會再次襲來。因此，微步在線建議客戶參考本報告的詳情部分采取進一步的防護措施。

微步在線的威脅情報平臺也已支持相關攻擊的檢測。如需微步在線協(xié)助檢測，請與我們聯(lián)系contactus@threatbook.cn

………………………………………事件概要………………………………………

攻擊目標：所有存在MS17-010漏洞主機

時間跨度：2017年5月12日

攻擊復雜度：豐富的編程經(jīng)驗和基礎資源

后勤資源：豐富的基礎資源及開發(fā)能力

攻擊向量：高危漏洞

風險承受力：高

最終目標：加密敏感數(shù)據(jù)，勒索贖金

………………………………………詳情…………………………………………

北京時間2017年5月12日，多家國外媒體披露了一起大規(guī)模的勒索軟件攻擊事件。關于此次事件我們帶著以下幾個問題，進行了對應的分析和解答：

此次攻擊影響范圍多大?

此次攻擊有包括中國在內的90多個國家受到相關攻擊，其中俄羅斯、烏克蘭等國家受影響最大。此次攻擊事件的主角即名為“WannaCry”的勒索軟件。該勒索軟件同時具備加密勒索功能和內網(wǎng)蠕蟲傳播能力，屬于新型的勒索軟件家族，危害極大。目前監(jiān)測到的受感染IP大約為75000個，下面是全球范圍內的受害者的實時監(jiān)控圖：

什么是秘密開關域名?

我們對該勒索樣本進行分析后發(fā)現(xiàn)，樣本啟動后會首先請求如下域名：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

請求失敗后，才會執(zhí)行加密;否則，則放棄進一步加密，并直接退出，我們將該域名稱之為“開關域名”：

??

??

企業(yè)應該如何應對?

微步在線建議的應對措施如下：

◆利用微步在線提供的威脅情報或者威脅情報平臺進行檢測，發(fā)現(xiàn)內網(wǎng)實現(xiàn)主機，防止該木馬進一步在內網(wǎng)傳播，對其他主機造成威脅。

◆鑒于該勒索軟件需要連通上述開關域名，才會停止加密。因此，如果內網(wǎng)機器沒有外網(wǎng)訪問權限，則建議客戶在內網(wǎng)修改此開關域名的內網(wǎng)解析，并且將解析IP指向在線的內部web服務器;如果內網(wǎng)機器具有外網(wǎng)訪問權限，則無須采取額外措施。

◆微軟已于2017年3月份修復了此次三個高危的零日漏洞，建議客戶及時更新系統(tǒng)，安裝最新的升級補丁[1]，修復相關漏洞。

◆Windows XP、Windows Server 2003微軟官方已經(jīng)緊急發(fā)布針對此次事件的特殊補丁[2]，因此建議相關客戶及時使用該補丁修復系統(tǒng)或者使用防火墻關閉TCP137、139、445、3389端口的互聯(lián)網(wǎng)訪問。

目前公開的被攻擊案例有哪些?

? 俄羅斯內政部披露，其內部系統(tǒng)被該勒索軟件攻擊，造成內部約1%的機器被攻陷。

? 英國國家衛(wèi)生服務機構被該勒索軟件攻擊，醫(yī)院的正常就診流程被打斷。

? 包括浙江傳媒大學、中國計量學院等多所國內大學的校園網(wǎng)內攻擊，文檔資料被加密，被勒索300美元的比特幣。

為什么目前仍有大量機器被繼續(xù)加密勒索?

上述開關域名早在2017年5月12日即被安全機構接管，但根據(jù)微步在線的監(jiān)測顯示，仍有大量的機器隨后被執(zhí)行加密，微步在線分析其中的原因，是由于大量內部機器沒有外網(wǎng)的訪問權限，因此勒索樣本執(zhí)行后請求開關域名失敗，隨后被執(zhí)行加密。因此，微步在線建議客戶參考【企業(yè)如何應對】問題進行緊急處置。

攻擊者目前收到了多少贖金?

微步在線對樣本中的三個Bitcoin地址監(jiān)測顯示，目前已經(jīng)有受害者開始支付贖金，目前的已經(jīng)累計11.5比特幣，即人民幣138000元。由于目前大量被勒索的客戶剛剛被攻擊，并沒有來得及支付贖金，我們預計明后兩天是贖金支付的高峰期。

背后的攻擊者是誰?

微步在線進行溯源后發(fā)現(xiàn)，有疑似名為SpamTech的Twitter生成對此次攻擊事件負責，但具體真?zhèn)挝覀內栽谶M一步分析中：

??

??

總結

微步在線對該事件進行了快速的響應，依托于微步在線的威脅分析平臺，我們對捕獲到的數(shù)十個攻擊樣本進行了快速的分析，提取了相關的IOC，可用于內網(wǎng)的失陷檢測。鑒于該勒索軟件攻陷內網(wǎng)某臺機器后，能夠快速的利用內置的蠕蟲傳播功能感染內網(wǎng)其他機器，微步在線建議，相關客戶使用微步在線威脅情報平臺進行失陷檢測，并及時參考行動建議部分采取進一步措施。

………………………………………檢測措施………………………………………

網(wǎng)絡流量：

建議直接部署微步在線威脅情報平臺進行檢測，或者使用附錄的IOC結合日志檢測：

如，通過防火墻檢查與IP 144.217.254.3的連接

附錄

C&C

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(秘密開關域名)

144.217.254.3

(重要提示：請不要在防火墻、IPS等設備攔截上述域名和IP的訪問，否則會造成失陷機器被加密勒索!!!)

木馬hash

22ccdf145e5792a22ad6349aba37d960db77af7e0b6cae826d228b8246705092

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

11011a590796f6c52b046262f2f60694310fa71441363d9116ada7248e58509a

11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49

16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab

201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9

57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4

5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec

5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9

5d8123db7094540954061ab1fbc56eedcd9e01110b62d0f54206e3e75a39776a

78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df

8321dfdf54fa41c6ef19abe98df0f5ef80387790e8df000f6fd6dc71ea566c07

9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640

a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c

b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0

b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4

dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696

e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079

e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96

eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb

f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

[1]https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[2]https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

網(wǎng)頁名稱：WannaCry勒索蠕蟲存在秘密開關！
瀏覽路徑：http://www.5511xx.com/article/ccegodh.html