5月13日消息,勒索病毒发生后,思科Talos团队解析了“WannaCry"勒索软件,思科表示,犯罪分子在收到勒索赎金后,并无义务提供解密秘钥,呼吁所有被攻击的人员尽可能避免支付赎金,因为支付赎金的举动无疑就是在直接资助这些恶意活动的壮大。
思科建议,确保所有Windows系统均安装了全部补丁,并且关闭所有外部可访问的139和445端口。
以下是文章全文:
博客作者:Martin Lee、Warren Mercer、Paul Rascagneres和Craig Williams
要点综述
据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica、英国的国民保健署、以及美国的FedEx等组织纷纷中招。发起这一攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。
此外,Talos还注意到WannaCry样本使用了DOUBLEPULSAR,这是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修复。在Shadow Brokers近期向公众开放的工具包中,一种攻击性漏洞利用框架可利用此后门程序。自这一框架被开放以来,安全行业以及众多地下黑客论坛已对其进行了广泛的分析和研究。
WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。
