Wannacry免疫工具

WannaCry勒索病毒防护工具是一款非常给力的实用简单工具，有效的防卫了最近非常流行的WannaCry勒索病毒，使用这款Wannacry免疫工具不管你电脑里哪个角落出现了可能危及到电脑的病毒，统统一键删除。

WannaCry勒索病毒防护工具是一款非常给力的实用简单工具，有效的防卫了最近非常流行的WannaCry勒索病毒，使用这款Wannacry免疫工具不管你电脑里哪个角落出现了可能危及到电脑的病毒，统统一键删除。

病毒介绍

　　5月12日晚开始，WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击，受入侵电脑超过20万，并且影响还在持续中，用户依然需要加强防护措施。WannaCry勒索病毒事件最初在英国曝光，12日晚上10点，英国时间大约下午3点半，英国全国共16家医院同时遭到网络攻击。 所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁，文件已经全部被加密，除非你支付价值300美元的比特币，否则你的文件将会被永久删除”。

　　很快，在英国地区遭受这些攻击的同时，全球多地发出告警，一场针对全球的网络攻击，瞬时展开。我国多个行业网络同样受到WannaCry勒索病毒攻击， 其中教育行业中的校园网受损尤为严重。目前，全球遭遇攻击的国家超过150个，幸免的国家，要么没有电脑，要么没有网络。

病毒分析

　　通过分析发现，WannaCry勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件， 利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁，导致电脑或服务器中招。

　　今年4月，方程式组织泄露addjob、swift、windows三个文件夹的数据，其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。 本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞，可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

病毒流程

　　勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

　　其中u.wnry*就是后续弹出的勒索窗口。

　　窗口右上角的语言选择框，可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

　　通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

　　以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

　　此时如果点击勒索界面的decrypt，会弹出解密的框。

　　但必须付钱后，才可以解密

　　115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

　　12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

　　13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

　　作者目前是通过这三个账号随机选取一个作为钱包地址，收取非法钱财。

病毒影响

　　深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看，从5月12号晚上开始， 不到一天的时间，发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次，其中受灾最严重的地区是杭州市，被攻击次数多达1612次。其实，勒索病毒并不陌生，这几年也频繁出现，然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。 究其原因，是大家对漏洞认知较少，也不清楚是否需要防护，该如何去防护。

　　由于没有相关监测产品对其业务进行7*24小时的安全值守，导致很多用户对安全漏洞感知不足，使得攻击者通过漏洞对其业务进行勒索。