【51CTO.com原創(chuàng)稿件】redhat9i是個80后網(wǎng)絡(luò)工程師，跟大多數(shù)IT男一樣，喜歡倒騰，他的興趣愛好非常廣泛，無線電通信、應(yīng)急救援、吹笛子、中醫(yī)理療、攝影等等。

[[192724]]

redhat9i·網(wǎng)絡(luò)工程師

相識51CTO

redhat9i主要活躍在51CTO論壇上，喜歡在論壇上和大家探討問題、交流經(jīng)驗，認識了不少同行，幫他解決了很多問題，使得redhat9i技術(shù)能力得到很大進步，在當時的大區(qū)他也算能指導其他代理商工作的人了。自此就扎根在51CTO論壇上了，從版塊版主做到現(xiàn)在的超級版主，每天登錄論壇已經(jīng)成為redhat9i的一種習慣。

WannaCry病毒解析

redhat9i就職的公司是某防病毒軟件的區(qū)域代理，除了產(chǎn)品銷售，還提供專業(yè)的售后服務(wù)。5月注定又是一個不平靜的月份，5月13日，永恒之藍病毒爆發(fā)了。故事就在redhat9i手里的一個行業(yè)客戶里邊發(fā)生了。從發(fā)現(xiàn)這個病毒redhat9i就開始通知客戶進行加固。根據(jù)廠商病毒實驗室那邊發(fā)過來的病毒詳細信息得知，病毒激活后會釋放出mssecsvc.exe、tasksche.exe、b.wnry、c.wnry、r.wnry、s.wnry、t.wnry、u.wnry、Taskdl.exe、Taskse.exe十個文件，然后訪問一個看似手滾鍵盤打出來的，死長死長基本沒啥意義的域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com（以下簡稱病毒網(wǎng)站），若此域名可用則停止對主機加密，反之則對主機文件進行加密，這一行為被稱為Kill Switch。Kill Switch是永恒之藍病毒是否加密系統(tǒng)的一個決定性開關(guān)，這是由英國一個網(wǎng)絡(luò)安全工程師發(fā)現(xiàn)的病毒漏洞，一旦永恒之藍病毒成功訪問這個地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，病毒就會停止對系統(tǒng)進行加密及感染其它機器，同時他在***時間內(nèi)注冊了這個原本不存在的域名，***程度阻止了病毒繼續(xù)肆虐。這個域名，看起來像是病毒作者給自己留的一個緊急停止開關(guān)，防止事情失去他自己的控制。

病毒激活后在局域網(wǎng)內(nèi)通過135、137、13、445端口及MS17-010漏洞進行傳播?？蛻糇约涸谑」緝?nèi)網(wǎng)（無法連接互聯(lián)網(wǎng)）搭建了一個病毒網(wǎng)站，防止病毒在內(nèi)網(wǎng)進行激活加密。同時通知各單位打補丁、關(guān)閉135、137、139及445端口。redhat9i也派人給客戶開啟相關(guān)的預防策略，通過防毒軟件限制在主機系統(tǒng)中釋放已知的十個病毒文件。但糟糕的是他們的加固速度還是沒能趕上病毒的傳播速度，5月19日，redhat9i從客戶網(wǎng)絡(luò)里邊檢測到mssecsvc.exe、tasksche.exe兩個文件，被確診為永恒之藍，好在被殺毒軟件查殺了。正當他松口氣的時候，省公司那邊通過對病毒網(wǎng)站的訪問監(jiān)測發(fā)現(xiàn)有至少5家分公司大量內(nèi)網(wǎng)主機正在訪問這個站點，這說明啥？說明內(nèi)網(wǎng)有大量主機感染了這個病毒。把redhat9i團隊驚出了一身冷汗，這個局域網(wǎng)內(nèi)有好幾萬臺電腦，要真?zhèn)鞑ラ_了那可就整大發(fā)了。經(jīng)他再三仔細排查，好在沒有主機被加密，這也是不幸中的萬幸了。

沒反應(yīng)的防毒軟件

5月20日，redhat9i逐一排查那些在后臺訪問永恒之藍站點的PC，發(fā)現(xiàn)這些PC都裝了防毒軟件、防毒組件也是***的，使用EICAR標準反病毒測試文件，官方下載地址（http://www.eicar.org/85-0-Download.html）檢測，防毒軟件均作出了查殺檢測，由此確認了防毒軟件工作正常。這又讓他疑惑了，主機有訪問局域網(wǎng)自己搭建的虛假病毒網(wǎng)站行為，然后沒有被加密，那就說明這還是早期出現(xiàn)的那個病毒，并不是2.0的變種，后經(jīng)證實2.0變種是某防病毒廠商技術(shù)人員鬧的一個烏龍，被各大媒體轉(zhuǎn)發(fā)報道，后來當事技術(shù)人員也公開進行了道歉。截止目前暫未接到不帶Kill Switch永恒之藍病毒樣本的通知。根據(jù)當時的資料來看防毒軟件是可以處理這些病毒的，為何防毒軟件都沒檢查出來呢？由于城區(qū)人手充足，所以城區(qū)的PC幾乎都被重裝系統(tǒng)了，為了查明為何防病毒軟件對此次的病毒樣本沒有做出應(yīng)有的反應(yīng)問題就必須拿到這次的病毒樣本。5月20日中午，redhat9i安排同事到偏遠地區(qū)只進行了斷網(wǎng)還沒來得及重裝的中毒主機現(xiàn)場，對系統(tǒng)運行情況進行分析，采集可疑樣本給防病毒廠商病毒實驗室進行分析。經(jīng)過廠商病毒實驗室確認，這次采集的樣本發(fā)生了變種，與之前檢測到的病毒代碼有所不同”。5月20日下午redhat9i緊急制作清除組件，晚上找了一個分公司進行試點，先更新服務(wù)器，然后對這些組件進行下發(fā)，確保這些組件更新后不會導致系統(tǒng)藍屏、影響客戶應(yīng)用并且能清除病毒。然后大家挨個到能找到的主機那兒確保組件已更新、守著主機進行全盤掃描，確定此次病毒文件可以被成功清除。5月21日凌晨1點，redhat9i團隊正式通知還在公司本部指揮的客戶技術(shù)負責人，這次的病毒樣本已經(jīng)可以清除并且不存在兼容性方面的問題。

奇怪的行為

這些病毒文件清理了之后是否還有訪問病毒網(wǎng)站的行為客戶需要進行現(xiàn)場核實。5月21日早上7點，redhat9i找到一些之前中毒被斷網(wǎng)處理的PC，確認系統(tǒng)中存在病毒樣本。重新接上網(wǎng)線，對這些中毒電腦的網(wǎng)絡(luò)通信進行抓包，居然沒看到他們?nèi)ピL問病毒網(wǎng)站，經(jīng)過對大量不同電腦的多次嘗試都沒重現(xiàn)之前訪問網(wǎng)站的行為，難道是redhat9i抓包有問題？他聯(lián)系省公司那邊檢查病毒網(wǎng)站訪問記錄也沒發(fā)現(xiàn)手里這些帶毒PC有異常行為。這就怪了，似乎所有中毒的和沒中毒的PC一夜之間都不再訪問之前的那個域名了。經(jīng)過redhat9i和現(xiàn)場幾個同事的探討，大家猜測病毒的探測行為可能不是時時刻刻都在進行的，應(yīng)該是需要一定條件，比如特定時間，這個最終原因則有待病毒實驗室去研究了。

從5月20日到5月21日，白天和夜晚，經(jīng)過兩天兩夜的處理，這場沒有硝煙的戰(zhàn)爭基本結(jié)束了。

加強安全意識防火防盜防病毒

事情處理完了，回過頭來看覺得這次事件中還是存在不少問題。

1、補丁一定要引起重視。微軟發(fā)布系統(tǒng)補丁這事似乎從Windows系統(tǒng)誕生之日起就有，但似乎管理員都沒引起重視，絕大多數(shù)人都認為漏洞理論上確實可以被利用然后進行一些破壞，但這不是還沒有出事么。redhat9i印象中最近一次利用漏洞進行大規(guī)模病毒感染的應(yīng)該是微軟的MS08-067漏洞，病毒名字叫worm_downad.ad，這病毒可算是讓大家開眼了，不僅利用自身攜帶的諸如admin、boss123、ihavenopass、qwe123等上百個中國人使用習慣的密碼字典去進行傳播感染，還利用微軟MS08-067漏洞進行大規(guī)模傳播。這個漏洞從發(fā)現(xiàn)至今已經(jīng)9年了，但我在工作中還是發(fā)現(xiàn)有不少客戶被這個病毒所困擾。所以，補丁請一定重視起來，不要指望安裝在一個漏洞百出系統(tǒng)中的安全軟件能給你搞定一切，房子地基都不穩(wěn)了，你還能指望房子給你遮風擋雨么？給大家附上永恒之藍利用的MS17-010漏洞補丁下載地址>>

2、搭建一個病毒訪問域名站點。截止目前永恒之藍激活后都會去訪問www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，若發(fā)現(xiàn)域名可用則停止加密，為了讓此域名能及時被解析到，尤其是無法連接互聯(lián)網(wǎng)的局域網(wǎng)，建議自己在公司內(nèi)部搭建一個站點的解析記錄。

3、若不幸感染此病毒，可以使用各大安全廠商提供的專殺工具進行查殺，也可以聯(lián)系你使用的防病毒軟件廠商協(xié)助你進行處理。

目前亞信、安天、360、北信源、瑞星、金山、騰訊7家公司已經(jīng)研發(fā)出針對該病毒的***專殺工具。大家可以自行選擇使用

亞信專殺下載地址(32位)：http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

亞信專殺下載地址（64位）：http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

亞信專殺使用說明：http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

安天專殺下載地址：http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下載地址：http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。

安天應(yīng)對說明鏈接：http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。

360公司免疫工具下載鏈接：http://b.#/other/onionwormimmune

360公司專殺工具下載鏈接：http://b.#/other/onionwormkiller

北信源公司專殺免疫工具和說明下載鏈接：http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205

瑞星免疫工具下載鏈接：http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星免疫工具+殺軟下載鏈接：http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

金山安全免疫工具（***版，下載后可自動適配用戶使用的系統(tǒng)，適配任何個人及企業(yè)用戶）下載地址： http://pan.baidu.com/s/1o8hqpXC

金山V8+終端安全防護系統(tǒng)免疫工具（***版，適配金山安全安裝此產(chǎn)品的企業(yè)級用戶）下載地址：http://pan.baidu.com/s/1kVHUlwz

騰訊電腦管家勒索病毒免疫工具和說明下載鏈接：http://guanjia.qq.com/wannacry/

騰訊電腦管家勒索病毒免疫工具（離線版）下載地址：http://url.cn/496kcwV

騰訊電腦管家勒索病毒免疫工具（在線版）下載地址：http://url.cn/498da3o

騰訊電腦管家管理員助手 下載地址：http://url.cn/499YVsJ  命令行：MS_17_010_Scan.exe 192.168.164.128

如果你也愿意分享你的故事，請加51CTO開發(fā)者QQ交流群 312724475聯(lián)系群主小官，期待你精彩的故事！

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】