2017-05-14

[專欄] 預防WannaCry勒索病毒入侵3步驟:系統更新→關閉445連接埠→安裝HitmanPro.Alert

維基百科:WannaCry(直譯「想哭」,或稱WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor)是一種利用NSA的EternalBlue工具透過網際網路對全球執行Windows作業系統的電腦進行攻擊的加密性勒索軟體蠕蟲(Encrypting Ransomware Worm)。該病毒利用AES-128和RSA演算法加密,利用Tor進行通訊,為WanaCrypt0r 1.0的變種。

「勒索軟體」的存在肯定讓很多人非常憤怒,因為它在資安界上是赫赫有名的惡意軟體之一!最近筆者在逛臉書的時候就看了一則關於使用者分享了自己被勒索軟體「WanaCrypt」所綁架的圖片:



剛開始以為只是普通型式勒索軟體,但想不到它的影響速度和感染擴散是非常嚴重的趨勢:



所以到現在很多新聞媒體追著開始報導,而且也很多國家、組織企業、醫療等等設備系統遭到勒索的慘案!

想必很多人在遭受感染之後不知道該怎麼辦,有些則是請教很多專家和工程師但是得到的答案都是『只能重灌,因為這種病毒到現在是沒有辦法破解』。

又或者會想說那我付贖金是不是有辦法把檔案資料拿回來? 答案是「未必」。

因為製作這些惡意勒索病毒軟體的作者到底有沒有寫解密金鑰在程式?或者伺服端(C&C)? 是無法知道的!更何況一般人若不是資安、分析人員是很難找出答案

當然網路上有很多用戶寫出怎樣付錢 之後怎樣殺價而救回檔案的,但是萬一非常不幸的遭到了攻擊,各位必須避免付贖金給攻擊者!因為支付贖金的舉動無疑是資助這些惡意活動繼續擴張壯大。

所以我們在未遭受到攻擊前必須對症下藥!提前防範是最根本的,良好資安意識習慣必須要有!!

那『WanaCrypt 2.0』到底怎麼防範? 目前的用戶又該怎麼提前防護!?

該攻擊涉及了前幾個月微軟釋出更新MS17-010 的漏洞

是利用了Microsoft Windows 中 SMB 服務器協議組件存在嚴重遠端執行代碼漏洞

以下給出了漏洞編號CVE:
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145
CVE-2017-0146
CVE-2017-0147
CVE-2017-0148
攻擊者可借助自己偽造的數據響應包利用該漏洞來造成任意代碼漏洞

影響系統版本:


Windows Server 2008 SP2、R2 SP1 Windows Server 2012 Gold和R2 Microsoft Windows Vista SP2 Windows 7 SP1 Windows 8.1 Windows RT 8.1 Windows 10 Gold 1511和1607 Windows Server 2016

 
漏洞處理和預防

未在電腦上啟用自動更新的使用者必須手動更新

可以在官方網站自行下載依照自己系統版本:

Windows 7    ( 64 位元 )  版本:下載

Windows 7    (  32 位元 ) 版本:下載

Windows 8.1 (  64 位元 ) 版本:下載

Windows 8.1 (  32 位元 ) 版本:下載

之後在控制台的防火牆關閉445 Port(連接埠)

展示影片(下面有圖解說明):



1
開啟控制台→「系統及安全性」。




2
再點選「Windows 防火牆」。




3
新增規則」→「下一步」。



4
點選「連接埠」→「下一步」。




5
點選「TCP」→在「特定本機連接埠」欄位輸入「445」→「下一步」。




6
點選「封鎖連線」→「下一步」。




7
全部勾選→「下一步」。




8
為這個規則命名(例如:445 TCP)→「下一步」。




9
就會看到輸入規則中有你禁用的規則 - 445 TCP(關閉445連接埠)。



當然!TCP跟UDP協定都要這樣做,UDP方法和上面步驟一樣,只是要記得在步驟五中改選「UDP」。


再來還有個防禦方法,修改登錄檔:


1
執行」→輸入「regedit」→「確定」。




2
右鍵按空白處→「新增」→「DWORD (32位元) 值」。




3
新增「SMB1」機碼將值設為0(代表停用)→重新開機。
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters




也有在流傳機率很渺茫的解決方案:

1:打開自己的那個勒索軟件界面,點擊複製。(複製黑客的比特幣地址)
2:把副本粘貼到btc.com(區塊鏈查詢器)
3:在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個TxID添加(交易哈希值)
4:把txid複製粘貼給勒索軟件界面按鈕連接我們。
5:等黑客看到後你再點擊勒索軟件上的支票。
6:再點擊解密解密文件即可。


在這裡我也要推薦兩款可以防止勒索軟體入侵的程式:
1) Emsisoft Anti-Malware
2) HitmanPro.Alert

這兩個根本是非常強的先前預防針,在我測試樣本、關閉更新、之後在本機測試結果

HitmanPro.Alert完全在他加密同時立即切斷它的加密過程,顯然是非常強的一款防勒索軟體!

簡單分析:

當然這款WanaCrypt是利用掃描全球網路有開放445 Port 的主機服務器,如果有啟用就進一步測試利用SMB 嚴重遠端執行代碼漏洞,若沒有更新系統版本的話,當然是會中標!

Poc Payload:

嘗試SMB v1 組件,如果 v1 是 x64 位元或 x86 就在登錄檔創「Dword」,如果值為0 未啟用就關閉:



勒索病毒掃描IP開放445 Port:




當然它安插了一款 doublepulsar 後門程序:




在最後掃描了一下台灣地區有多少台電腦的445 Port是開啟的,如下圖:




在上面這些啟用445連接埠的電腦可能存在被入侵植入病毒軟體的風險!可見多可怕,有幾萬多台...


結論:

世界上並未還有任何方法可以解決掉所有勒索軟體疑慮問題,我們只能提前做好防護免得在緊要關頭而爆發才要回頭來警覺更新都太遲了!

因為勒索軟體使用的加密算法有些是無法破解的,且每天都有病毒不斷在與日俱增,就算今天有個資安業者廠商寫出了解密或者破解這個勒索病毒過程,但是到了明天或是後天我們不能確保它是否還是同樣個?

惡意病毒軟體是有很多不同變種,就如同社會在變、科技在進步,病毒也在進步

手法方式和技術是不斷改變,我們只能要有資訊安全意識才能對自己保障!


相關文章:
實測WanaCrypt0r 2.0勒索病毒被Emsisoft Anti-Malware完封
實測WannaCry勒索病毒被Bitdefender Antivirus Free免費防毒軟體查殺
如何避免勒索軟體上身?


版權資訊

文章作者:HONC (章哲瑜)阿榮福利味忠實讀者,目前還是個學生,熱愛資安研究、網路滲透。)
資歷:
★獲得幾個國際獨立漏洞編號:CVE-2017-8848、CVE-2017-8833、CVE-2017-8832
★Europa 歐盟漏洞安全名人堂-2017
★Microsoft March 2017 名人堂
★Trend Micro 2017 名人堂
★Adobe 2017 名人堂