近期,WannaCry勒索病毒把整個(gè)互聯(lián)網(wǎng)攪得天翻地覆,利用美國(guó)NSA泄露的永恒之藍(lán)漏洞大肆傳播。但騰訊電腦管家檢測(cè)到,在該病毒傳播的同時(shí),還有一個(gè)惡意程序同樣在利用該漏洞進(jìn)行傳播。因該惡意程序會(huì)阻斷受害電腦的445端口的網(wǎng)絡(luò)連接,故一定程度上阻止了WannaCry病毒的大肆傳播。目前,騰訊電腦管家已可攔截該攻擊,用戶不必驚慌。
騰訊電腦管家攔截惡意程序
據(jù)了解,該惡意程序是一個(gè)“門羅幣”的挖礦程序(“門羅幣”是一種虛擬機(jī)貨幣,類似比特幣)。黑客利用虛擬主機(jī)掃描網(wǎng)絡(luò)上開放了445端口的機(jī)器,之后利用“永恒之藍(lán)“漏洞攻擊,進(jìn)入目標(biāo)主機(jī)后,下載挖礦軟件進(jìn)行挖礦。
而出乎意料的是,該惡意程序會(huì)通過ip組策略阻斷受害機(jī)器的135、445端口的網(wǎng)絡(luò)請(qǐng)求。而445端口的開啟正是WannaCry勒索病毒得以猖獗蠻蔓延的必要條件之一,據(jù)騰訊電腦管家安全團(tuán)隊(duì)介紹,445端口常用于局域網(wǎng)之間共享文件或者打印機(jī),感染病毒主機(jī)通過掃描局域網(wǎng)內(nèi)主機(jī)進(jìn)行相關(guān)攻擊,由于未更新安全補(bǔ)丁同時(shí)開啟445端口主機(jī)過多,病毒同時(shí)在失陷主機(jī)植入木馬程序,再次攻擊感染新的有漏洞主機(jī),導(dǎo)致在局域網(wǎng)內(nèi)傳播感染速度非常之快。
此外,由于該惡意程序爆發(fā)的時(shí)間更早,最早發(fā)現(xiàn)是在今年4月底,且受害用戶群也很龐大,這意味著該惡意程序無意間“幫助”大量用戶關(guān)閉了445端口,因此在一定程度上阻止了WannaCry病毒的大規(guī)模擴(kuò)散。
病毒運(yùn)行后首先關(guān)閉機(jī)器135、445端口:
然后通過釋放到C:Program FilesCommon FilesSystem 目錄下的文件alg.exe執(zhí)行挖礦命令:
挖礦程序:alg.exe
挖礦指令中的門羅幣收集地址:
49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLXfpW1WfRMnzEAQBHy7
該地址截至目前已收集到約433XMR
雖然在該惡意程序的“助攻”之下,在一定上阻止了“WannaCry”的大肆傳播,但伴隨著對(duì)勒索病毒的深入研究和追蹤溯源,以騰訊電腦管家為代表的安全廠商已經(jīng)上線了一套行之有效的處置方式,用戶對(duì)待勒索病毒不必太過驚慌。此外,即使不幸感染勒索病毒的網(wǎng)友用戶也可下載安裝騰訊電腦管家勒索病毒專殺工具和文件恢復(fù)工具,并按照下方步驟操作,有很大概率找回被鎖文件。
1、 發(fā)現(xiàn)感染了勒索病毒后,立即斷網(wǎng)(拔網(wǎng)線或斷開WiFi)。
2、 電腦中毒后,不能關(guān)機(jī),并且不要因?yàn)轶@慌失措,進(jìn)行大量的無效操作(如拷貝、新建、復(fù)制、粘貼等),也不要打開任何文檔、軟件或程序。
3、 通過其他電腦或手機(jī),在騰訊電腦管家官網(wǎng)下載勒索病毒專殺工具及文件恢復(fù)工具,并用U盤直接拷貝到電腦中安裝運(yùn)行。
(勒索病毒專殺工具下載地址:http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip)
4、 用騰訊電腦管家勒索病毒專殺工具進(jìn)行查殺,殺毒完畢后即可運(yùn)行文件恢復(fù)工具恢復(fù)文件。
5、 將恢復(fù)好的文件拷貝至安全的U盤或移動(dòng)硬盤中,隨后重新安裝系統(tǒng)。
根據(jù)騰訊電腦管家安全團(tuán)隊(duì)測(cè)試發(fā)現(xiàn),只要按照以上方法進(jìn)行操作,其文件被恢復(fù)的概率可達(dá)到最高!