2024年3月27日发(作者:)

WannaCry

12

ELECTRONICS WORLD

探索与观察

随着当今社会各行各业信息化、网络化程屏信息显示 驱动出现问题, 正是存在“永恒之

度越来越高,计算机病毒由原来通过光盘、U蓝”漏洞的驱动文件(如图1所示)。

盘等移动存储介质传输,以文件或程序为载体

进行被动传播,只感染单机造成单机系统运行

故障的单纯性计算机病毒,演变成为通过网络

漏洞主动传播,在网络内进行大范围攻击,计

算机大面积感染并造成影响复合型病毒。本文

针对2017年出现的变种WannaCry勒索蠕虫病毒

进行分析,给出了针对该病毒的查杀思路、详

细步骤及防范建议。

一、背景

2017年5月12日,WannaCry勒索蠕虫病毒

图1

在全球集中爆发,超过150个国家的数十万台

四、变种WannaCry蠕虫病毒与WannaCry勒索病毒的区

电脑受到感染,磁盘文件被加密锁死。继5月

14日凌晨全球首家发布“勒索病毒文件恢复 WannaCry 病毒拥有 KillSwitch 域名开关,当病毒可以

工具”之后,360、瑞星、金山等国内杀毒软访问该域名(sodp9ifjaposdfjhgosurijfaewrwergw

件厂商相继推出勒索病毒专杀及文件恢复工

)时,病毒终止运行和传播,不会对主机造成任何破

具,使勒索病毒的传播和危害的到遏制。但而坏。变种病毒虽然也会连接该 KillSwitch 域名,但并不会因

WannaCry勒索蠕虫病毒之后,出现该病毒变

访问到该域名而终止运行。所以变种wannycry病毒传播速度

种蠕虫病毒,大量感染局域网内计算机并对局更快。

域网内计算机进行攻击,导致计算机大面积蓝

WannaCry 之前的版本会释放勒索程序对主机文件加密

屏,无法正常使用,造成严重影响。进行勒索,变种后该程序在主流 Windows 平台下运行失败,

二、局域网内感染变种WannyCry蠕虫病毒

无法加密主机文件进行勒索操作。

的现象五、变种WannyCry蠕虫病毒的特征

局域网内感染变种WannyCry蠕虫病毒后,

1、感染了变种WannyCry蠕虫病毒的计算机在c:

有以下几点比较明显的现象:

window目录下是否存在三个文件,分别是、

1、局域网内计算机出现不定时的蓝屏,qeriuwjhrf、。和qeriuwjhrf文件大小

蓝屏前部分计算机360杀毒提示受到“变种勒为3432KB,大小为3636KB。

索蠕虫病毒远程攻击”。

2、使用md5计算工具对以上三个文件进行md5值计算,

2、断开本地网络连接后不出现蓝屏。

其md5校验值分别如下:

3、部分蓝屏计算机本地查杀并无病毒。 8b2d830d0cf3ad16a547d5b23eca2c6e

4、局域网内蓝屏计算机数量不断增加 854455f59776dc27d4934d8979fa7e86

快,范围大。

qeriuwjhrf 8b2d830d0cf3ad16a547d5b23eca2c6e

5、AD域服务器、网络盘等基于445端口的3、通过netstat -ano命令查看网络连接,会发现计算机不

应用服务器出现蓝屏很高。停的对外发送SYN_SENT包,目的端口为445。

三、变种WannaCry蠕虫病毒分析六、局域网感染变种WannyCry蠕虫病毒的处理方法

WannaCry 之前的版本会释放勒索程序对1、处理原则

主机进行勒索,变种后该程序在主流 Windows 如果局域网已经有计算机感染变种WannyCry蠕虫病毒。

平台下运行失败,无法进行勒索操作。但如果建议采取先防御,后全面排查清除病毒的防范。

内网中有主机感染了该变种病毒,病毒会利用先对局域网内所有计算机安装补丁(安装补丁不成功的

“永恒之蓝”漏洞扫描局域网内开启了445端可直接关闭445端口),堵住病毒传播途径;再对全网计算

口的计算机并进行网攻击。由于该变种病毒使机进行病毒检查,并逐个清除病毒。

用了堆喷射技术进行漏洞利用,并不稳定,存对于已经确认感染病毒的计算机应立即断开网络连接,

在小概率出现漏洞利用失败。在漏洞利用失败离线进行处理,避免病毒扩散,或者重复感染。

的情况下,会造成被攻击主机蓝屏的现象。蓝对于已经出现蓝屏,又无法立即安装补丁或根本无法安装

ELECTRONICS WORLD

探索与观察

补丁的计算机可以采取临时关闭TCP 445端口的措施,避免遭受病毒

攻击。

2、处理步骤

2.1 首先对局域网内计算机进行病毒免疫处理

病毒免疫方式有两种:一是安装补丁,二是关闭本地445端

口。建议能够安装补丁的服务器应尽量安装补丁修复漏洞。具体操

作方案如下:

(1)安装MS17-010补丁

根据本机操作系统类型,在微软官方网站下载对应操作系统的

MS17-010补丁,并通过U盘拷贝到本机进行安装(微软官方在 3 月

份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏

洞)。在安装该补丁前,应断开本地计算机网络连接,避免在补丁安

装过程中遭受攻击蓝屏,导致系统崩溃。并且确保本地操作系统满足

该补丁的升级要求,例如:win7系统必须升级到win7 sp1版本,部分

版本的windows server2008必须升级到server 2008 R2 sp1版本等。

(2)关闭445端口

在安装系统补丁的过程中可能出现安装不成功的情况,或者不

具备下载补丁条件的用户,可以通过以下方法关闭本机445端口,

防御来自其他计算机对本机的攻击。

①在组策略管理器中本地安全关管理功能中,建立一条IP安全

策略,禁止所有计算机访问本机TCP 445端口;为避免本机感染病

毒后,本机对网络中其他计算机进行攻击,也可以在策略中禁止本

机发送目的端口为445的数据包。操作步骤如图2所示:

图3

修改注册表后,如果是windows xp 系统那么重启系统后会自动

关闭TCP 445端口;如果是windows 7的话,必须停用server服务。

步骤为依次点击“开始”运行,输入进入服务管理控制

台。在管理控制台中找到server服务,双击进入管理控制界面。把

服务器启动类型调整为“禁用”,服务状态更改为“停止”,最后

点击应用,并重启计算机即可。操作步骤如图4所示:

图4

③可以通过网上下载一些带端口关闭功能的工具,关闭445端

口。如图5所示:

图2

②通过修改本机注册表的方式,禁用本地TCP 445端口。在开始菜单

输入regedit然后回车,依次点击注册表选项“HKEY_LOCAL_MACHINE

SYSTEMCurrentControlSetservicesNetBTParameters“,进入NetBT这个服务

的相关注册表项。然后在Parameters这个子项的右侧,点击鼠标右键,”新

建“,”QWORD(64位)值“,然后重命名为”SMBDeviceEnabled“,再

把这个子键,改为”0“。操作步骤如图3所示:

图5

13

ELECTRONICS WORLD

探索与观察

④端口关闭前和关闭后可通过 netstat -ano命令查看端口状态,

确保TCP 445端口已经被成功关闭。如图6-7所示:

(2)专杀工具

利用WannyCryKill等专杀工具直接进行查杀,查杀速度快,几

秒钟就可以对变种WannyCry蠕虫病毒进行查杀。

(3)杀毒软件

目前主流杀毒软件均能对变种WannaCry蠕虫病毒进行查杀,可使

用全盘扫描对计算机进行全面杀毒,并根据查杀结果和处理建议进行

处理。利用杀毒软件查杀由于扫描文件较多查杀速度相对比较缓慢。

七、变种WannyCry蠕虫病毒处理的难度

变种WannyCry蠕虫病毒没有killswitch的限制,不需要访问互联

网,导致一旦有计算机感染变种WannaCry蠕虫病毒后,内网传播极

图6

快,受影响计算机数量更多,无法定位病毒,只能全网全面查杀,全

面防御。但存在如下几点情况,导致病毒清除的工作难度较大:

1、网络中大量提供共享打印机、网络盘等基于445端口的应

用,导致中毒服务器和终端计算机数量和范围急速增加。

2、+3、部分服务器和客户端在安装补丁过程中出现故障导致

系统崩溃。

4、部分关键应用服务器,例如AD域服务器、网络盘服务器等

可能存在必须使用445端口,但由于系统问题无法安装MS17-010补

丁。这种情况只能重新部署操作系统和应用系统然后再安装补丁。

图7

5、终端计算机数量多,用户操作能力参差不齐,处理不及时

或用户未按要求处理,导致局域网计算机查杀病毒不完全,防御操

作不正确,计算机反复感染病毒。

6、该变种病毒单台主机被感染特征不明显,容易引发内网传

播,扩大影响范围,需小心防范。

⑤对于部分服务器,例如AD域控制器、网络盘、打印服务器等基于

445端口体用服务的设备若无法安装漏洞补丁,则应从新安装操作系统,

打好漏洞补丁后,重新部署系统,以避免感染病毒或遭受病毒攻击。

(3)补丁安装完成或TCP 445端口关闭后,方可将计算机再次

接入网络,正常使用。

2.2 判断感染变种WannyCry蠕虫病毒的服务器和计算机设备

通过查看本地计算机C:windows目录下是否存在mssecsvc.

exe、qeriuwjhrf、三个文件,其中和

qeriuwjhrf文件大小为3432KB,大小为3636KB。若存

在以上三个文件则可以确认感染了变种WannyCry蠕虫病毒。对于

系统出现过蓝屏及如图8提示的计算机或服务器应重点进行检查。

八、变种WannyCry蠕虫病毒防御的建议

1、网络建设应合理规划网段,并通过交换机访问控制列表、

防火墙策略等屏蔽网段间TCP 445端口的访问,只允许访问指定IP

的445端口。

2、信息系统的建设应尽量避免使用TCP 445等易受攻击的端口。

3、尽量不要在网络中建立共享网络盘。

3、最好使用带IP的网络打印机,尽量不要使用共享打印机。

4、建立补丁服务器,及时安装高危漏洞补丁。无法安装补丁

的服务器和设备应关闭本机TCP 445端口,无法关闭端口的应及时

重新部署系统。

5、计算机全面安装部署正版杀毒软件,定期进行全盘病毒查

杀,可以有效清除WannyCry勒索蠕虫病毒。

6、重视服务器安全,定期对服务器进行病毒查杀 。

九、结论

图8

通过验证,本文中对局域网内变种WannyCry蠕虫病毒防御方法

可以有效防止变种WannyCry蠕虫病毒在局域网内的传播及抵御变种

WannyCry蠕虫病毒对服务器和计算机终端的攻击,且以上方法及措施

易于操作,可以在学校、企业等局域网环境全面推广应用。

作者简介:杨永刚(1987—),男,四川资阳人,学士,中车

资阳机车有限公司工程师,研究方向为网络安全。

2.3 变种WannyCry蠕虫病毒的清除

病毒清除可以采取如下3种方式:

(1)手动清除病毒

重启计算机 ,开机时按F8进入安全模式,在安全模式下找到

C:windows目录下的、qeriuwjhrf、三个文

件,进行删除。

14