来源：www.anysec.com

编辑：深圳中科网威

摘要：“永恒之蓝”勒索病毒发生变种完爆“熊猫烧香”数万企业机构网络瘫痪老板极度想哭 ，永恒之蓝，想哭，勒索病毒发生变种，Wannacry，永恒之蓝补丁，微软，永恒之蓝发明人影子破坏者,勒索病毒事件的影响,想哭病毒危害，企业网络安全解决方案。

熊猫烧香是一种恶性的计算机病毒，其与灰鸽子不同，是一种经过多次变种的“蠕虫病毒”变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊伙同他人开设网络赌场，再次获刑。

其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中等病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

除通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

至此，据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。反防毒专家表示，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。反病毒专家建议，用户不打开可疑邮件和可疑网站，不要随便运行不知名程序或打开陌生人邮件的附件。

最新统计数据显示，勒索病毒自5月12日首次爆发至今，全球已经有超过20万PC收到感染，而如今事情正在变得更糟。

稍早，英国安全人员研究发现黑客在勒索病毒当中注入了一个“自毁开关”，当病毒ping到一个特殊域名时便会自动停置攻击，进入蛰伏状态。

当时分析人员认为，这是黑客担心事态完全失去控制而为自己留的一条后路。

但同时也有预测观点称，当黑客发现自己的后路被安全人员用掉了之后，可能会修改病毒代码，从而发起新一轮攻击。

不幸的是，这种预测应验了。

研究人员在刚刚过去的这个周末已经发现，黑客偷偷对勒索病毒的代码进行了修改，许多病毒样本的“自毁开关”被设计ping到与已知域名不同的新域名，或者干脆取消了“自毁开关”设置。

安全人员表示，黑客的这种做法非常危险，恐怕很多人在周一上班打开电脑时就会发现自己也中招了。

2007年，美国国家安全局NSA开始实施棱镜计划，全面监视互联网。

2013年6月，前中情局雇员爱德华斯诺登对媒体披露棱镜计划，并指出美国政府支持的黑客对全球多个国家进行了黑客攻击。

2016年一个叫做“影子破坏者”的黑客组织公开拍卖美国国家安全局使用的部分攻击工具，其中包含了微软操作系统的一个漏洞（代号是永恒之蓝），虽然微软公司在今年三月份的时候发布补丁修复了这个漏洞，但因为大量低版本的Windows操作系统并不在微软的服务范围之内，所以仍然有数量巨大的用户处于未受保护的状态。随着时间的推移，原本的准军方武器，落入了黑色产业链的手上，并把它制作成为勒索病毒，这就是本次事件的前因后果。

本次勒索病毒的覆盖范围非常广，从医院到学校到企业，甚至包括了部分政府敏感部门，遍布世界各地，可以说是近十年来影响最大的一次信息安全事件。本次勒索病毒的性质也很恶劣，并不像过去以传递制作者理念和思想为核心的传播型病毒，或者以炫耀技术为目的的破坏型病毒，而是采用加密技术将用户的重要资料加密劫持，从而讹诈用户赎金的商业病毒。

本次事件尚未完全结束，因为事件爆发的时间是周末，有很多办公电脑处于关机状态，明天周一上班后如果相应的管理人员不能及时采取安全防护措施，还会有一次延迟的爆发。

被“影子破坏者”曝光的NSA漏洞并不只有“永恒之蓝”一个，甚至可以预想到还有更多的军用级网络武器尚未被曝光，而这种准军事攻击工具民用化黑产化的模式一旦传播开来，未来很可能会出现更多的大规模信息安全事件。

经过分析，这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件，其严重性不亚于当年的“冲击波”病毒。勒索软件为最新的“wannacry”的家族，目前尚无法对加密后的文件进行解密，中招后只能重装系统或向黑客支付赎金解决。此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group（方程式组织）的“EternalBlue（永恒之蓝）”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞，该漏洞可影响主流的绝大部分Windows操作系统版本。

漏洞影响范围：

MS17-010漏洞主要影响以下操作系统：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。

由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于Windows XP、Windows 7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。

WindowsXP/2003操作系统没有补丁，只要开启了445端口则确认受到影响。

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下，[email protected]@.exe”。同时衍生大量语言配置等文件，该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头。

解决方案

◆ 做好重要文件的备份工作（非本地备份）。

◆ 开启系统防火墙。

◆ 利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

◆ 打开系统自动更新，并检测更新进行安装。

◆ 停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

◆ 如无需使用共享服务建议关闭该服务。

已部署端点安全的终端应急解决方案

◆ 如果用户已经部署终端管理类产品，如北信源，天珣、联软等

◆ 通过终端管理软件进行内网打补丁。

◆ 通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。

◆ 开启文件审计，只允许word.exe，explore.exe等对文件访问。

◆ 升级病毒库。

网络应急解决方案

◆ 在边界出口交换路由防火墙设备禁止外网对内网135/137/139/445端口的连接。

◆在内网核心主干交换路由防火墙设备禁止135/137/139/445端口的连接。

◆ 如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。

◆ 发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

已中毒用户

◆ 断开网络连接，阻止进一步扩散。

◆ 优先检查未感染主机的漏洞状况（可直接联系启明星辰，提供免费检测工具使用），做好漏洞加固工作后方可恢复网络连接。

◆ 已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

内部排查应急方案

◆ 若用户已部署漏洞扫描类产品，可联系厂商获得最新漏洞库的支持。

◆ 未部署相关产品的用户，可联系厂商获得产品试用应急。

无法关闭服务端口的应急解决方案

◆ 若用户已部署UTM/IPS入侵防御类产品，可联系厂商获得最新事件库的支持。

◆ 未部署相关产品的用户，可联系厂商获得产品试用应急。

详细分析

当系统被此次“wannacry”勒索蠕虫入侵后，在自我“蠕虫式”传播的同时，会使用“AES+RSA”算法加密文件,所有被加密文件都被添加了“WNCRY”的扩展名后缀。

具体的，“wannacry”病毒运行后，会检查参数个数，当小于2时，创建并启动服务mssecsvc2.0，服务参数是-m security，服务镜像为其自身。之后释放wanacrypt0r，并运行。

当参数大于等于2，也即它认为是以服务启动时，执行蠕虫传播功能。蠕虫功能会开启两个线程，一个负责扫描本地网络：

另一个线程负责扫描整个互联网，IP随机生成：

当扫描到有问题的主机时，会使用NSA工具的DoublePulsar paload将其传播过去（相关分析见http://www.venustech.com.cn/NewsInfo/4/45762.Html）, DoublePulsar可以将一个动态库植入，因此该蠕虫传播的也是一个动态库。

动态库有x86、x64两个版本。功能简单，只有一个导出函数PlayGame，运行后会直接加载资源节”W”，资源节”W”便为蠕虫自身，保存为C:mssecsvc.exe，并运行。

深圳中科网威,国内著名网络信息安全解决方案厂商,生产销售VPN网关（SSL VPN/IPSEC VPN）设备,下一代防火墙,堡垒机,上网行为管理,无线AP,POE交换机,USB隔离器,上网行为管理器,下一代防火墙, Web应用防火墙,无线AP,waf防火墙,防火墙,无线控制器,跳板机,开源堡垒机,SSLVPN/IPSECVPN等产品全国销量排行第一,提供免费安装试用服务.中科网威是专业的上网行为管理监控解决方案厂家,企业组网解决方案和技术提供商,企业无线网络覆盖无线办公整体解决方案服务商.

公司：深圳市中科网威科技有限公司

地址：深圳市福田区梅华路105号国际电子商务产业园1栋6楼

网址：www.anysec.com

全国统一客服电话：4006288838；

销售电话：0755-83658029；13927455457（胡木 经理）

售后电话：0755-83658009

传真：0755-83656609

邮箱：humu@anysec.com