1 总体概况
1.1 概述
2017年5月12日20时左右,“Wannacry勒索病毒”开始在互联网爆发。截止到5月25日,全球150多个国家和地区的大约13万台计算机遭到该病毒感染,我国部分windows系列操作系统遭到感染。
由于“Wannacry勒索病毒”是利用了操作系统层的漏洞进行传播,且部分攻击是在企事业内网发现,而内网的攻击难以通过传统的网络出口监控或web监控进行捕捉,因此很难在大范围内获知病毒具体感染情况。
时至今日,仍有各种病毒变种和新型勒索病毒利用一些漏洞对系统造成安全,我们对某市病毒感染情况进行了统计和分析。本次统计和分析是基于威胁情报数据,利用大数据的分析方法对某市1月份期间感染了“Wannacry勒索病毒”的主机进行数量和分布等方面的分析,为今后类似病毒的预防和提供保障。
1.2 总体情况
通过对“勒索病毒”爆发后的数据“指纹”识别及各行业病毒感染情况上报的数据进行分析,在2017年5月至今,经过不断的搜集数据,分析资料得出结果如下。
按行业进行分类:
具体数据表格:
| 序号 | 行业 | 被感染数量 |
|---|---|---|
| 1 | 生活服务 | 872 |
| 2 | 教育 | 531 |
| 3 | 医疗 | 80 |
| 4 | 运营商 | 186 |
| 5 | 其他 | 239 |
行被感染的主机类型分
具体数据表格:
| 序号 | 行业 | 被感染数量 |
|---|---|---|
| 1 | 办公电脑 | 1672 |
| 2 | 服务器 | 236 |
按病毒类型分
具体数据表格:
| 序号 | 行业 | 被感染数量 |
|---|---|---|
| 1 | Wannacry病毒 | 1826 |
| 2 | Wannacry变种病毒 | 82 |
通过数据的分析发现“Wannacry勒索病毒”在公安和教育行业感染数量较大,服务器被感染数量明显少于办公电脑,且目前检测到的大多为原始“Wannacry勒索病毒”而非变种病毒。
2 资产统计
2.1 设备概述
根据运营商数据统计,某市目前拥有互联网IP地址大约500万,其中互联网存活设备大约为170万。
其中windows主机对互联网开放常用端口情况统计如下,其中开放445端口的windows主机大约为23000台。
3 病毒感染分析
3.1 感染趋势
自2017年5月12日“Wannacry勒索病毒”爆发之后,我们对某市的445端口数据进行了持续性的监控,对勒索病毒的数据流进行指纹匹配,取得了某市内勒索病毒的感染趋势图。
“Wannacry勒索病毒”利用了MS17-010漏洞进行传播,核心payload抓包数据如下:
从中分析出来两条规则,针对该病毒的流量进行检测。
指纹1:83 f3 68 36 61 674c 43 71 50 71 56 79 5869 32
指纹2:68 3544 48 30 52 71 73 79 4e 66 45 62 584e 54
通过对流量的持续监测,我们得到了某市勒索病毒的感染传播趋势图,如下所示。
3.2 特点分析
根据上面的感染趋势图结合某市资产分布和统计,分析得知某市“Wannacry勒索病毒”的几个特点:
1、在“Wannacry勒索病毒”爆发初期,某市就有不少服务器和办公电脑被感染,主要分布在教育和生活服务网络中,如火车站、自助终端、邮政、医院、政府办事终端、视频监控等;
2、虽然自病毒爆发后各种媒体都在推送病毒预警和预防措施,但2017年5月15日(周一工作日)病毒迎来爆发高峰期;
3、在“Wannacry勒索病毒”感染后一周左右,互联网上陆续出现病毒变种,在我们的监测平台中发现被感染病毒数量有小幅增长;
4、在“Wannacry勒索病毒”爆发大约两周后,根据相关责任部门的统计数据和监测平台监测数据显示,某市互联网数据流量中已基本检测不到该病毒或病毒变种。
5、通过对病毒的分析知道,病毒作者无法明确认定哪些受害者支付了赎金,就算支付了赎金也很难给出相应的解密密钥,因此在某市范围内未发现有支付赎金的用户。
3.3 处理统计
我们对感染了“Wannacry勒索病毒”的企事业单位进行了后续处理方法调查,发现有11%的受感染用户恢复了文件数据,89%的被感染主机无法恢复文件。成功恢复数据的用户中有2%的用户(38人)选择了硬盘文件恢复的方式以恢复重要数据,4%的用户(78人)使用了备份数据。
4 附录
4.1 病毒预防以及感染后处理方式汇总
1、安装杀毒软件如360杀毒、金山毒霸、瑞星、卡巴斯基等,保持安全防御功能开启,微软自带的WindowsDefender也可以。
2、打开Windows Update自动更新,及时升级系统。
微软在已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞,同时针对停止支持的WindowsXP、Windows Server 2003、Windows8也发布了专门的修复补丁。
最新版的Windows 10 1703创意者更新已经不存在此漏洞,不需要补丁。
各系统补丁官方下载地址如下:
【KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP232位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾
【KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
适用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位
【KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
适用于Windows 8.1 32位/64位、WindowsServer 2012 R2 32位/64位
【KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
适用于Windows 8嵌入式、Windows Server 2012
【KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
适用于Windows 10 RTM 32位/64位/LTSB
【KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
适用于Windows 10 1511十一月更新版32/64位
【KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
适用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位。
3、Windows XP、Windows Server 2003系统用户还可以关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。
步骤如下:
(1)、开启系统防火墙保护。控制面板->安全中心->Windows防火墙->启用。
开启系统防火墙保护
(2)、关闭系统445端口。
(a)、快捷键WIN+R启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启。
(b)、如上图假如445端口开启,依次输入以下命令进行关闭:
net stop rdr / net stop srv / net stop netbt
功后的效果如下:
4、谨慎打开不明来源的网址和邮件,打开Office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。
钓鱼邮件文档中暗藏勒索者病毒,诱导用户开启宏运行病毒
5、养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。
本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,希望广大用户由此提高重要文件备份的安全意识。
关注我们
对web安全有兴趣的小伙伴可以关注或加入我们,TideSec安全团队:
来源:freebuf.com 2019-03-01 16:48:02 by: TideSec
请登录后发表评论
注册